-
Notifications
You must be signed in to change notification settings - Fork 4
/
804.txt
68 lines (51 loc) · 5.1 KB
/
804.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
[1] 素の [[HTTP]] ([[TLS]] を使わない [[TCP/IP]] 上の [[HTTP]]) は、もはや安全とは考えられていません。
原則として [[HTTPS]] を用いるべきです。
* 盗聴
[2] [[HTTP]] ではしばしば秘密の情報がやりとりされます。例えば次のものがあります。
[FIG(list)[
- [[個人情報]]
-- 申し込みフォームなどの住所、氏名、電話番号、メールアドレス等
- 決済情報
-- 電子商取引サイトなどのクレジットカード、ギフト券等
- 認証情報
-- [[Webサービス]]等の ID、[[パスワード]]、[[秘密の情報]]等
-- [[Basic認証]]
-- [[セッションID]]等 [[Webサービス]]側の管理上の情報
- [[Webサービス]]等のデータ
-- [[Webメール]]サービスの[[メール]]データ、連絡先データ
-- 文書・ファイル管理サービスの文書、スプレッドシート、プレゼンテーション、その他のファイル
-- スケジュール管理サービスのスケジュール
]FIG]
[3] [[TLS]] を使わないと、こうした情報が[[通信路]]上で盗聴される危険性があります。
中継するサーバーだけでなく、[[無線LAN]]など脅威はどこにでもあります。
[4] 動機は私怨かもしれませんし、国家権力かもしれませんし、
興味本位かもしれません。盗聴目的は色々考えられるので、どんな通信でも危険性はあると思っておくべきです。
[EG[
[5] 子供同士の雑談チャットでも、仲の悪い同級生は悪用したいかもしれません。
]EG]
[9] 盗聴された当事者だけでなく、認証情報を盗まれた [[Webサービス]]の管理者や他の利用者だったり、[[グループウェア]]を共有する他のメンバーだったり、複数の人達が被害を受けるおそれがあります。
[[Webサービス]]の管理者は、被害を防ぐため、 [[HTTPS]] で''のみ''サービスを提供するべきです。
* 検閲
[7] 通信が検閲されるかもしれません。
[8] 国家権力によるもの (例: [[中国]]の[[金盾]]) なら、仕方がないかもしれません。組織の管理者が設定したもの (例: 学校ネットワークのフィルタリング) なら、正当な理由もあるかもしれません。しかし、悪意を持った第三者が気付かないうちに検閲を行えるとしたら、とても危険なことです。
[10] 検閲されて通信を妨害された[[利用者]]はもちろん、情報の提供者 ([[Webサイト]]の管理者や寄稿した著者・投稿者) も不利益を被ることになります。
[[Webサービス]]や [[Webサイト]]の管理者は、確実に自身のサイトの内容を伝えるため、
[[HTTPS]] で[[Webページ]]を提供するべきです。
* 改竄
[6] 通信内容が改竄されるかもしれません。素の [[HTTP]] では改竄されているかどうか、検知する確実な方法はありません。
[11] 一部の[[通信事業者]]は、[[通信の最適化]]などと称して、通信路中でデータを改竄して転送する [SRC[>>12]] ことが知られています。[[利用者]]がそのことを十分承知している場合は問題ありませんが、そうでなければ [[Webサイト]]の正確な内容を知ることができなかったり、 [[Webサービス]]の機能を十分利用できなかったりするかもしれません。
[[Webサービス]]の提供者にとっても、利用者に自身のサービスを正常に提供できず、しかもその原因を把握するのが困難かもしれません。
[EG[
[13] 例えば高画質の画像を提供することを売りにした有料サービスは、通信路中で勝手に画像が改竄され、画質が劣化して[[利用者]]から苦情が来るかもしれません。しかし[[利用者]]と全く同じ通信サービスを利用していなければ再現性がなく、原因が特定できないかもしれません。
]EG]
[REFS[
- [12] [CITE@ja[LTEフラット | 料金・割引:スマートフォン・携帯電話 | au]] ([TIME[2015-07-12 17:00:37 +09:00]] 版) <http://www.au.kddi.com/mobile/charge/packet-discount/lte-flat/>
]REFS]
[14] 一部のインターネット接続サービス ([[公衆無線LAN]]サービスなど) は、
[[captive portal]] での認証を経ないと[[インターネット]]への接続を提供しない形となっていることがあります。
これは原理的に[[なりすまし]]でしかありません。
あるいは [[Webページ]]中に[[広告]]などを挿入する手法が使われたこともあります。
これはまさに改竄です。
その延長で悪意を持った通信サービス提供者が通信内容や [[Web Storage]] などに保存された情報を盗んでいても、気づくことはほとんど不可能です。
[15] [[Webサービス]]や[[Webサイト]]の管理者は、自サービスの利用者と自身のコンテンツを守るため、
[[HTTPS]] で''のみ'' [[Webページ]]を提供するべきです。