質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
HTTPS

HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

暗号化

ネットワークを通じてデジタルデータをやり取りする際に、第三者に解読されることのないよう、アルゴリズムを用いてデータを変換すること。

Python

Pythonは、コードの読みやすさが特徴的なプログラミング言語の1つです。 強い型付け、動的型付けに対応しており、後方互換性がないバージョン2系とバージョン3系が使用されています。 商用製品の開発にも無料で使用でき、OSだけでなく仮想環境にも対応。Unicodeによる文字列操作をサポートしているため、日本語処理も標準で可能です。

Q&A

解決済

1回答

1176閲覧

http通信でHTMLデータを取得する危険性について

study_111

総合スコア82

HTTPS

HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

暗号化

ネットワークを通じてデジタルデータをやり取りする際に、第三者に解読されることのないよう、アルゴリズムを用いてデータを変換すること。

Python

Pythonは、コードの読みやすさが特徴的なプログラミング言語の1つです。 強い型付け、動的型付けに対応しており、後方互換性がないバージョン2系とバージョン3系が使用されています。 商用製品の開発にも無料で使用でき、OSだけでなく仮想環境にも対応。Unicodeによる文字列操作をサポートしているため、日本語処理も標準で可能です。

0グッド

2クリップ

投稿2020/06/15 06:24

編集2020/06/15 06:27

requestsライブラリを使用し、SSL認証がされていないサイトへアクセスする場合のセキュリティリスクについて、お聞きしたいです。
具体的には「http」通信によってアクセスを行なった場合、データが暗号化されていない為、中身が見られ、改竄などされてしまうというリスクがあるかと思います。
しかし、何かサーバーへデータを送る訳ではなく、URLを指定しアクセスを行い、HTMLデータを取得し、解析するだけである、といった場合には、セキュリティリスクは存在するのでしょうか。
自分が「改竄」という部分で、推測した限りでは、サーバーから返ってきたHTMLデータを第三者が、改竄し実際のサイトのHTMLデータでないものがクライアントに送り返されてしまうといった点は、あるのではないかと思いましたが、実際このようなことは起こってしまうのでしょうか?
「requests」を使用した場合に、SSLエラーが発生してしまったのですが、デフォルトの「https」通信をオフにして良いのかどうか、迷い、質問させて貰いました。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

hoshi-takanori

2020/06/15 22:02

そのプログラムを動かす目的にもよるのでは。個人利用で、取得したデータの内容をご自分で検証できるならご自分の責任において好きにすれば良いですし、他の人に提供するならちゃんと動作を保証する必要があると思います。あと、目的のサイトが http に対応してるかにもよるでしょうね。
guest

回答1

0

ベストアンサー

質問のようなセキュリティリスクを中間者攻撃と呼びます。
接続先サイトのドメインと、証明書に記載されているドメインが一致しないとこの証明書は怪しいぞ、すりかえられていないか?と疑います。
また、ドメインが一致していても証明書を作成した機関が信頼たる組織か確認できなければ、やはり偽の証明書を勝手に作っているのではないかと疑うことになります。

何かサーバーへデータを送る訳ではなく、URLを指定しアクセスを行い、HTMLデータを取得し、解析するだけである、といった場合には、セキュリティリスクは存在するのでしょうか。

中間者攻撃が成功すると、リクエストの内容もレスポンスの内容も盗聴されます。その通信内容は?youtubeやinstagramのデータだったら個人の嗜好が読み取れるでしょう。yahooニュースなら取得するニュースの内容が個人ごとにカスタマイズされているのでこちらも個人の嗜好が読み取れるかもしれない。あなたの行動に関する情報が読み取れてしまうのは立派なセキュリティリスクでしょう。

SSLエラーが発生してしまった

どのような理由で発生したか調査は必ず必要でしょう。上記のようにドメインが一致していなかったり信頼できるルート認証局から発行されていない証明書で合った場合は中間者攻撃が疑われます。証明書の期限切れもよくあります。この場合は相手先のサーバが正常にメンテナンスされていないということなので、やはり危険です。ビジネスでやっている通信の場合は相手先の状況を確認しつつ、対策を促すべきと思います。

投稿2020/06/15 08:18

hope_mucci

総合スコア4447

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

study_111

2020/06/15 14:30

ご回答ありがとうございます。 http通信の目的は、SSL証明書を取得していないサーバーへのリクエストを行う可能性があるからでした。デフォルトのrequestsの設定では、https通信になっていた為、httpに切り替えての通信を行おうと考えておりました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問