Q&A
そのプログラムを動かす目的にもよるのでは。個人利用で、取得したデータの内容をご自分で検証できるならご自分の責任において好きにすれば良いですし、他の人に提供するならちゃんと動作を保証する必要があると思います。あと、目的のサイトが http に対応してるかにもよるでしょうね。
requestsライブラリを使用し、SSL認証がされていないサイトへアクセスする場合のセキュリティリスクについて、お聞きしたいです。
具体的には「http」通信によってアクセスを行なった場合、データが暗号化されていない為、中身が見られ、改竄などされてしまうというリスクがあるかと思います。
しかし、何かサーバーへデータを送る訳ではなく、URLを指定しアクセスを行い、HTMLデータを取得し、解析するだけである、といった場合には、セキュリティリスクは存在するのでしょうか。
自分が「改竄」という部分で、推測した限りでは、サーバーから返ってきたHTMLデータを第三者が、改竄し実際のサイトのHTMLデータでないものがクライアントに送り返されてしまうといった点は、あるのではないかと思いましたが、実際このようなことは起こってしまうのでしょうか?
「requests」を使用した場合に、SSLエラーが発生してしまったのですが、デフォルトの「https」通信をオフにして良いのかどうか、迷い、質問させて貰いました。
回答1件
0
ベストアンサー
質問のようなセキュリティリスクを中間者攻撃と呼びます。
接続先サイトのドメインと、証明書に記載されているドメインが一致しないとこの証明書は怪しいぞ、すりかえられていないか?と疑います。
また、ドメインが一致していても証明書を作成した機関が信頼たる組織か確認できなければ、やはり偽の証明書を勝手に作っているのではないかと疑うことになります。
何かサーバーへデータを送る訳ではなく、URLを指定しアクセスを行い、HTMLデータを取得し、解析するだけである、といった場合には、セキュリティリスクは存在するのでしょうか。
中間者攻撃が成功すると、リクエストの内容もレスポンスの内容も盗聴されます。その通信内容は?youtubeやinstagramのデータだったら個人の嗜好が読み取れるでしょう。yahooニュースなら取得するニュースの内容が個人ごとにカスタマイズされているのでこちらも個人の嗜好が読み取れるかもしれない。あなたの行動に関する情報が読み取れてしまうのは立派なセキュリティリスクでしょう。
SSLエラーが発生してしまった
どのような理由で発生したか調査は必ず必要でしょう。上記のようにドメインが一致していなかったり信頼できるルート認証局から発行されていない証明書で合った場合は中間者攻撃が疑われます。証明書の期限切れもよくあります。この場合は相手先のサーバが正常にメンテナンスされていないということなので、やはり危険です。ビジネスでやっている通信の場合は相手先の状況を確認しつつ、対策を促すべきと思います。
投稿2020/06/15 08:18
総合スコア4447
ご回答ありがとうございます。
http通信の目的は、SSL証明書を取得していないサーバーへのリクエストを行う可能性があるからでした。デフォルトのrequestsの設定では、https通信になっていた為、httpに切り替えての通信を行おうと考えておりました。
あなたの回答
tips
プレビュー
