質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.51%
Salesforce

Salesforceは、クラウド型の顧客関係管理(CRM)、営業支援(SFA)などのサービスを提供している企業。米カリフォルニア州に本社があり、日本法人は株式会社セールスフォース・ドットコムです。

HTTP

HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

HTTPS

HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

Q&A

解決済

4回答

2044閲覧

httpで接続していた期間で考えられるリスク

TatsunoriKoda

総合スコア58

Salesforce

Salesforceは、クラウド型の顧客関係管理(CRM)、営業支援(SFA)などのサービスを提供している企業。米カリフォルニア州に本社があり、日本法人は株式会社セールスフォース・ドットコムです。

HTTP

HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

HTTPS

HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

1グッド

0クリップ

投稿2016/04/13 01:01

現在、Salesforceのサイトという仕組みを用いてエンドユーザ向けのマイページを構築しています。
運用開始から2ヶ月ほどはhttp接続をしており、ここ最近になってhttps接続に切り替えました。
このhttp接続をしていた期間のアクセスログをクライアントより求められています。
そこで質問ですが、この期間、http接続を許していたことで考えられるリスクとはどのようなものがあるのでしょうか?
マイページの機能には下記があります。
・ログイン機能(ユーザ毎のID、パスワード)
・直近数ヶ月の利用量、請求金額の表示
・クーポンの購入(購入にはカード決済などはなく、外部APIにて購入申請をおこなう)

今の世の中、Webサイトはhttpsが常識なのでしょうか。
このような世の中、うっかりhttpでの運用をしてしまった際のリスクを知っておきたいです。

どなたかご回答いただけますと、大変助かります。
どうぞ、宜しくお願い致します。

退会済みユーザー👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答4

0

ログイン機能を設けていて,なおかつ金銭を取り扱うシビアなサイトなのに,暗号化していないのはあり得ないです.そういうサイトでは,すべての通信をTLS暗号化するのが常識だと思います.

  • 公衆無線LANなどでは通信しているパケットの中身がすべてダダ漏れ
  • 接続先ホストが本物のIPアドレスに対応するかどうかの保証がない (DNSサーバが攻撃されていた場合に危険)
  • そもそも平文でパスワードなどのプライベートな情報が通信回線を流れていること自体が問題

また,あなたのサイトが原因でパスワードが流出すると,そのパスワードを使いまわしている利用者はパスワードリスト攻撃で別のサイトでも被害を被る可能性があります.

備考: PHPによる簡単なログイン認証いろいろ

投稿2016/04/13 02:38

編集2016/04/13 02:44
mpyw

総合スコア5223

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

TatsunoriKoda

2016/04/13 03:15

サイトを運営する側も使う側もリスクについては勉強しておく必要がありますね。 丁寧な解説、ありがとうございました。
guest

0

ベストアンサー

最悪を想定すると、

・ログイン機能(ユーザ毎のID、パスワード)

・直近数ヶ月の利用量、請求金額の表示
・クーポンの購入(購入にはカード決済などはなく、外部APIにて購入申請をおこなう)

この内容が、そのまま漏洩していた可能性は否定できません。通信傍受、された可能性有りとの事です。

さて、
IDやパスワードを取り扱い時点で、HTTPSを使う事は、昨今では常識となっています。
いろいろな、ログインのあるサービスを見られるとよいかと思います。
HTTPでログインさせるサイトは、無いと思います(個人の趣味レベルのサイトは別ですが)。
逆に、私ならログインがHTTPなら、そのサイトは利用しません。

ログインページ以外でも、最近では、通常のお問い合わせフォームなど、
メールアドレスや、個人名を含む場合には、HTTPSを利用するのが普通です。

それでも、Proxyをはさまれたりしてしまえば、情報は見られてしまいますし、
ソーシャルハッキングという手もありますので、
何が安全とはいえませんが、
少なくともHTTPSは、常識の範囲、
うっかりHTTPで運用、は、あり得ないかと。下手すれば、訴訟レベルの話にもなりかねないかと。

※昨今はログイン後やフォームだけでなく、サイト全面HTTPSという所も多くなってきました。

投稿2016/04/13 02:44

ItoTomonori

総合スコア1283

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

TatsunoriKoda

2016/04/13 03:14

丁寧な解説、ありがとうございました。 今回の事象が収束しましたら一度セキュリティ周りを徹底的に勉強したいと思います。
guest

0

IDとパスワードを通信から読み取られて、第三者にログインされてしまう可能性があります。

投稿2016/04/13 01:42

issei.

総合スコア326

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

TatsunoriKoda

2016/04/13 03:16

リスクの1つとして参考になりました。 ありがとうございます。
guest

0

HTTPとセキュリティ問題 TCP/IP入門を参考に回答してみると、「通信をモニタして情報を盗み出されていた可能性がある」ということでしょうか。

投稿2016/04/13 01:09

tkturbo

総合スコア5572

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

TatsunoriKoda

2016/04/13 03:16

参考URL、ありがとうございました。 また、すぐに回答いただきありがとうございました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.51%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問