Semantic Web – WordPress

SSLで暗号化すべきウエブページが http でアクセスできる

leave a comment »

cookie 盗聴、フィッシング詐欺による偽ウェブサイトへの強制的なリダイレクトなどにより、ウエブ上の重要なユーザ情報が盗まれないために。

セッション管理のため cookie を使用するとき[2つのプロトコル(モード): 標準(http) | SSL(https) を使い分ける場合も含む]、ログイン用の認証ページ、内部リンク先で暗号化によるデータ送信のみ行いたいページでは、、http:// ページ用 cookieとは別のものを作成し、かつ http:// では決してアクセスできないように設定する必要があります。
    http://www.ipa.go.jp/security/ciadr/20030808cookie-secure.html
また、https:// ページの cookie には、secure 属性を必ず記述し、暗号送信します。
cookie 設定に際して、通常、有効期限を設けますので、
    http://www.yanagisawa.ws/WBL/ASP/session.asp#Cookie
Cookie 値は、クライアントPC のハードディスクに保存されます。
万一、cookie 情報が、仕掛けられたスパイウエアなどによりクライアントPCのハードディスクから流出( https:// であってもおこります)したり、ネットワーク傍受 ( http:// )により、悪用されたとき、
変数名=値 に [ログインID] そのものを使用していると、
「オンラインパスワードクラッキング」のためのブルートフォースアタック用ツールなどがあれば、少ない文字数のパスワードについてはその解読は短時間で終了します。
   参照ページ: http://akademeia.info/main/lecture1/tokubetu_online_password_cracking.htm
ブルートフォース攻撃を防ぐためには、パスワードの連続入力回数を制限することも大切です。また、変数名に対応する「値」には [ログインID]以外のものを使用します。

SSL, cookie が正しく設定されていないサイトを利用するときの一般的な対策として、
Cookie盗聴によるWebアプリケーションハイジャックの危険性とその対策
    http://securit.gtrc.aist.go.jp/research/paper/AIST03-J00017/
文章内の 補足3 を以下に引用します

・・・対策が不完全なサイト(1. すべてのページが http

s:// で構成されているが、セッション追跡用cookieにsecure属性が付けられていないサイト、 2. SSLで保護すべき画面に http

:// でアクセスできてしまうサイト)においては、利用者による自衛手段がある。
· 攻撃者が仕掛けた罠のリンクにジャンプしてしまうことを防止するため、当該サイトにログイン中に他のサイトへアクセスに行かないようにする。
· HTMLメールを表示しただけで罠のURLへのアクセスが生ずることがあるので、ログイン中にメールを読まないようにする。

Written by support

2005/06/18 @ 13:58

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。