webページのSSL化と普段気をつけられるセキュリティ

webページのSSL(Secure Sockets Layer)化と、普段気をつけられるセキュリティについて記載したい。

webページのSSL化
見た目の変化としてはwebページのアドレスが「http://」から「https://」に変わって「s」が入ることであり、利用者が目で見てわかるところはほとんど変わらない。結局変わるのは、サーバとの通信が暗号化され、途中で盗み見られてもそのままでは内容を知ることができない、ということである。最近はGoogleがwebページをSSL化していることを検索評価の要素に入れるとアナウンスしたことから、SSL化しているページが増えている。しかしながら、SSL化する必要があるものというのは限られているような気もする。結局このブログの内容をダウンロードするくらいであれば、途中で見られたからといってどうということも無いだろう。ポイントは、会員ページへのログイン画面など、アカウント、パスワードを入力するところであれば、ユーザーからすればぜひともSSL化しておいてほしい。

ユーザが注意できること
途中で盗み見られるというのがどういったシチュエーションかということだが、個人的に注意したほうがよいのは、パスワードを要求されないFree Wi-Fiは注意したほうがよいと考えている。普通のパソコンもWi-Fi親機になることができるが、暗号化していなければ接続してきた端末のデータをすべて記録することはたやすいだろうし、リアルタイムで内容がわからなくても記録してあれば後でゆっくり内容を確認し、アクセスサイト名、アカウント名、ログインパスワードを収集することもできる。特に、海外に行ったときはFree Wi-Fiがあるととても便利で僕も空港とかホテル、カフェで使っていたが、その際は自分のアカウントでログインが必要なサイトにはアクセスしなかった。結局、すべてのユーザが自分の使っている通信回線の安全性について把握しているわけではないので、盗み見られるかもしれないFree Wi-Fiの回線を使用してアクセスしてきたとしても、アカウント名とログインパスワードは暗号化したページでやりとりすることとし、顧客の情報を守ることが必要と思う。

アカウントとパスワードの使い分け
マメな人だとアドレスやパスワードを分けて使っているので、どこから流出したのかわかる。以前mixiでアカウントの乗っ取りがあったが、自分が使っているパスワードは全くのランダムで通常推測できないし、使っているサイトによって微妙に変えていた。結局乗っ取りにあったのだが、全く同じアカウントとパスワードを使っていたところはかなり限られていたので、流出元が想定できた。割と有名なところでもその中のたった一人対応が甘くて流出することがある。一度流出してしまうと、どんなに堅牢なパスワードでも、リストに載ってしまっている以上は全く意味がなく、簡単にログインされてしまう。対策としては、すべてのwebページで同じパスワードを使いまわさないことだろうと思う。微妙に変えておけば、パスワードの流出があったときも、すべてが乗っ取られることはない。

コメント

タイトルとURLをコピーしました