認証ページのSSLがよく分からない人向けに解説してみるよ その1
第1話、http:// なサイトは何故危ない?
登場人物
( ・д・) デー君 某大学のゼミ生
( ・ω・) 黒猫博士 某大学の研究員
|・д・)ノ 。o (先生!最近、フィッシングサイトの被害を防ぐために SSL、SSLってうるさいんですが、いつから、https:// で始まるページだと、安全だと言うことになったんです?)
|・ω・) 。o ( 良い質問だね。
実は、https:// で始まるページなら安全というよりも、https:// で始まらないページが非常に危険だというのが理由なんだよ。
ちょっとこの ログイン|高速バス・夜行バス・深夜バスの予約はVIPライナー や
http://be.2ch.net/ のページを見てくれたまえ )
|・д・) 。o ( ちゃんとした公式ページみたいですけど、なんか問題あるんです? URLがあってたら大丈夫なんじゃないんですか? )
|。・ω・) 。o
(いいかい?デー君、インターネットってのは目的のサーバーにたどり着くまでにいろいろなコンピューターを経由するんだよ。たくさんのサーバーが伝言ゲームみたいに通信の内容を伝達して、目的の場所に届くようになっているんだ。 https://
で送る場合は、暗号化されたデータが送られるので、途中のサーバーでデータを見ても一見分からないようになってるんだよ。 でも、 http://
だと、生のデータが見えちゃうんだ。 )
|・д・) 。o (えー、嘘っぽいなぁ。そんなにかんたんにみえちゃうもんなんですか?)
|。・ω・)。o (じゃあ、今から実験してみよう。デー君はそのパソコンから5分後にログインする。僕は、サーバールームにいるからね)
:
|・д・) 。o (先生、お帰りなさい。どうです?)
|。・ω・)。o (IDはmofmof、パスワードはmofmof123だね?)
|・д・) 。o (えー!?どうして?)
|。・ω・)。o (これを見てごらん、IDもパスワードも丸見えなんだよ)
|・д・) 。o (うわぁ、ほんとだ)
|。・ω・)。o (つまり、途中の経路に悪意のあるコンピューターが紛れてたらアウトだし、コンピュータウィルスが感染してたら、クッキーに保存していなくても、簡単に入力した文字が分かっちゃうんだよ。という訳で、今度は be.2ch.net の方も試してみよう)
|。・ω・)。o ( これが傍受した、パケットだよ。わかるかい? )
|・д・) 。o (うわぁ…メールアドレスとパスワードが筒抜けだぁ…!?)
|。・ω・)。o (うん、こういうサイトを運営してるようなところは、遠からず、大規模な情報流出を引き起こすね
じゃあ、最後にhttps://で始まるサイトである 店舗会員ログイン[食べログ] で見て見よう)
|・д・)ノ 。o (はぁい)
|・д・) 。o (なんか通信内容がバイナリでわかりません)
|。・ω・)。o (暗号化されてるからね。よほどのことがない限り、入力した内容が通信経路で傍受されることはないよ)
|・д・) 。o (これからは、http:// ではじまるログインページのサイトは使わないようにします)
|。・ω・)。o (それがいいね)
つづく
Amazonの偽サイトのニュース/見分け方の解説が色々酷い話
第2話 ログインページが http:// なのに 認証だけ暗号化されてるサイト
Translate
デー君の名前の由来が気になります。
それはさておき私自身は
「データは平文で流れるが、何処のサーバー通過するかわらからず、膨大データ量なのでリスクは少ない」と言った説明を聞いていました。
本当に安全かはわかりませんが
また、いくらSSLで暗号化されていてもパスワード再発行するときメールで送ってきたりするサイトも多く、その場合、あまり意味ない気もします。