webサイトのセキュリティ(暗号化)のお話し-2

ではでは。昨日の続きです。

httpsから始まるURLのページは、暗号化されていますよ~。
と書きました。
そのページに対して下記のようなアクションを取るのではないでしょうか。

1.そのページの中に住所や電話番号など、個人情報を入力します。

2.ページ内の確認ボタンをクリックします。

3.確認画面が表示されます

4.送信ボタンをクリックします。

5.「ありがとうございました」などのメッセージが表示されます

6.確認メールが届きます

1.のページはhttpsから始まっていたとして、
3.の入力内容の確認画面がhttpだと台無しなのです。
3.で入力した情報がhttpで表示された時点で、暗号化されていない平文で通信されています。
2.の処理がどうなっていようが、無駄です。
また、
6.で届いた確認メールの中に、個人情報が書かれていたとします。
e-mailは、証明書を用いていない限りは、平文です。
自分のところに確認メールが来ていない場合でも、
そのwebサイトの管理者にメールが届く場合があります。
これまたほとんどの場合が平文です。

というわけで、そのお問い合わせフォームがあるサーバの管理者でない限り、
その問い合わせが安全に管理されているかどうかを見分けるのが難しいのです。

ではやはり、インターネットで個人情報を入力するのは危険なのか???

というと、まぁ、なんとも言えません。

ちなみに私はインターネットでガンガンお買いものします。

昨日述べたように、

電話やFAXも盗聴は可能です。
なので、私の基準では、電話でも答えるような内容、住所だとかはインターネットでも入れてます。

最近このhttpsってなんですか?ってのを良く聞かれるので、
ちょっと書いてみました。
もうちょっと深く知りたい場合は、会ったときにでも聞いてください。
この分野は結構深く話せます。

ちなみに上記1.がhttpで2.の処理がhttpsという場合もあるのですが、
下記のサイトにも書かれているように、私としては、入力画面がhttpなのは、力いっぱい脆弱性と考えて良いと思っています。
http://takagi-hiromitsu.jp/diary/20051130.html
http://www.soi.wide.ad.jp/class/20030011/slides/10/

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


This site uses Akismet to reduce spam. Learn how your comment data is processed.