認証ページのSSLがよく分からない人向けに解説してみるよ その2

第2話  ログインページが http:// なのに 認証だけ暗号化されてるサイト

登場人物

( ･д･) デー君 某大学のゼミ生
( ･ω･) 黒猫博士 某大学の研究員

|･д･)ノ 。o (先生！あれから気になったので色々サイト見ながらパケットキャプチャしてみたんですが…)

|｡･ω･)。o (うん？何か気になるサイトがあったかい？)

|･д･) 。o ( 『無料ゲーム・オンラインゲームならハンゲーム』何ですが、IDとPassword の情報が流れてこないんです。)

|｡･ω･)。o (どれどれ…あー、これ、認証情報だけ https://id.hangame.co.jp/login.nhn にリダイレクトされてるね )

|･д･) 。o ( じゃあ、安全なんです？)

|｡･ω･)。o ( 少なくとも、途中で傍受される危険は少ないね )

|･д･) 。o ( ほっ…)

|｡･ω･)。o ( でもね )

|･д･) 。o ( えっ？ )

|｡･ω･)。o ( でもね、これだとユーザーはログインして、実際に送信するまで、ちゃんとしたサイトにデータが送られているのか分からないんだよ。よく『大手のサイトに不正なスクリプトが埋め込まれていた』なんてニュースがあるだろう？あれやられたり、君のPCがウィルスに感染してみてるサイトの情報がこっそり書き換えられたりすると気づけないからね。)

|･д･) 。o ( ガーン…あれ、でも改ざんされてるならSSLのサイトでも同じじゃないのかな？ )

|｡･ω･)。o ( いいところに気づいたね。じゃあ実験してみよう。このサイトはSSLのページだけど、送信先は別のサイトだ )

|･д･) 。o ( あっ、警告が表示されました！ )

|｡･ω･)。o ( つまり、改ざんされていてもSSLのページならデータを送ってしまう前に気づくことができるんだよ )

|･д･) 。o ( なるほど…じゃあ、認証ページが SSL じゃない場合はあまりよくないんですね )

|｡･ω･)。o ( 似たようなページの場合発行元を確認することもできないからね。その点SSLなら、サイトの発信者の情報も確認できるんだよ

こんな風にね )

|･д･)ノ 。o ( 念のため確認なんですが、認証以外のページが http:// の場合は大丈夫なんですか？ )

|｡･ω･)。o ( 普通はセッション情報っていう、接続のIDのようなものを発行して処理されるから、通信を傍受していない限り、その人しか見れないページを表示することはできないね。 でも、そういう危険があるから、まともなサイトなら、個人情報にアクセスしたり、変更したりするページにアクセスする際には再び、認証ページに飛ぶようになってるんだよ )

|･д･) 。o ( あー。ログインしてるのにAmazonで買い物決済しようとしたらまた認証求められてめんどくさいと思ったんだけど、そういう事情があったんですか )

|｡･ω･)。o ( そういうこと。
まとめると、
1. 認証の際、実際にアクセスするのがSSLページでも表示ページが http:// なサイトはあまりよくない。
2. 通常のページが http:// でも、金銭に関わるページや個人情報にアクセスする場合は、SSL ページで再認証するのが理想
3. だから、IDやパスワードを入力するときは、 https:// で始まるページになってるか確認するっていうのがすごく重要
なんだよ。 )

|･д･) 。o ( 納得しました！ )

第1話、http:// なサイトは何故危ない？
Amazonの偽サイトのニュース/見分け方の解説が色々酷い話