質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.48%

  • HTTP

    561questions

    HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

  • SSL

    518questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

  • HTTPS

    266questions

    HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。

  • Salesforce

    42questions

    Salesforceは、クラウド型の顧客関係管理(CRM)、営業支援(SFA)などのサービスを提供している企業。米カリフォルニア州に本社があり、日本法人は株式会社セールスフォース・ドットコムです。

httpで接続していた期間で考えられるリスク

解決済

回答 4

投稿

  • 評価
  • クリップ 0
  • VIEW 805

TatsunoriKoda

score 45

現在、Salesforceのサイトという仕組みを用いてエンドユーザ向けのマイページを構築しています。
運用開始から2ヶ月ほどはhttp接続をしており、ここ最近になってhttps接続に切り替えました。
このhttp接続をしていた期間のアクセスログをクライアントより求められています。
そこで質問ですが、この期間、http接続を許していたことで考えられるリスクとはどのようなものがあるのでしょうか?
マイページの機能には下記があります。
・ログイン機能(ユーザ毎のID、パスワード)
・直近数ヶ月の利用量、請求金額の表示
・クーポンの購入(購入にはカード決済などはなく、外部APIにて購入申請をおこなう)

今の世の中、Webサイトはhttpsが常識なのでしょうか。
このような世の中、うっかりhttpでの運用をしてしまった際のリスクを知っておきたいです。

どなたかご回答いただけますと、大変助かります。
どうぞ、宜しくお願い致します。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

+2

ログイン機能を設けていて,なおかつ金銭を取り扱うシビアなサイトなのに,暗号化していないのはあり得ないです.そういうサイトでは,すべての通信をTLS暗号化するのが常識だと思います.

  • 公衆無線LANなどでは通信しているパケットの中身がすべてダダ漏れ
  • 接続先ホストが本物のIPアドレスに対応するかどうかの保証がない (DNSサーバが攻撃されていた場合に危険)
  • そもそも平文でパスワードなどのプライベートな情報が通信回線を流れていること自体が問題

また,あなたのサイトが原因でパスワードが流出すると,そのパスワードを使いまわしている利用者はパスワードリスト攻撃で別のサイトでも被害を被る可能性があります.

備考: PHPによる簡単なログイン認証いろいろ

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/04/13 12:15

    サイトを運営する側も使う側もリスクについては勉強しておく必要がありますね。
    丁寧な解説、ありがとうございました。

    キャンセル

checkベストアンサー

0

最悪を想定すると、

・ログイン機能(ユーザ毎のID、パスワード) 
・直近数ヶ月の利用量、請求金額の表示 
・クーポンの購入(購入にはカード決済などはなく、外部APIにて購入申請をおこなう)

この内容が、そのまま漏洩していた可能性は否定できません。通信傍受、された可能性有りとの事です。

さて、
IDやパスワードを取り扱い時点で、HTTPSを使う事は、昨今では常識となっています。
いろいろな、ログインのあるサービスを見られるとよいかと思います。
HTTPでログインさせるサイトは、無いと思います(個人の趣味レベルのサイトは別ですが)。
逆に、私ならログインがHTTPなら、そのサイトは利用しません。

ログインページ以外でも、最近では、通常のお問い合わせフォームなど、
メールアドレスや、個人名を含む場合には、HTTPSを利用するのが普通です。

それでも、Proxyをはさまれたりしてしまえば、情報は見られてしまいますし、
ソーシャルハッキングという手もありますので、
何が安全とはいえませんが、
少なくともHTTPSは、常識の範囲、
うっかりHTTPで運用、は、あり得ないかと。下手すれば、訴訟レベルの話にもなりかねないかと。

※昨今はログイン後やフォームだけでなく、サイト全面HTTPSという所も多くなってきました。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/04/13 12:14

    丁寧な解説、ありがとうございました。
    今回の事象が収束しましたら一度セキュリティ周りを徹底的に勉強したいと思います。

    キャンセル

0

HTTPとセキュリティ問題 TCP/IP入門を参考に回答してみると、「通信をモニタして情報を盗み出されていた可能性がある」ということでしょうか。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/04/13 12:16

    参考URL、ありがとうございました。
    また、すぐに回答いただきありがとうございました。

    キャンセル

0

IDとパスワードを通信から読み取られて、第三者にログインされてしまう可能性があります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/04/13 12:16

    リスクの1つとして参考になりました。
    ありがとうございます。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.48%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

  • 受付中

    うるう秒対策について

    今、PHPもMYSQLを使った簡単なアプリケーションを運営中です。 来週うるう秒というのが追加されるらしいのですが、アプリケーション側で何か対策する事などあるのでしょうか? 例え

  • 解決済

    SSL暗号化通信を導入すべきかどうかの判断について

    ネットなどを調べますと、送信フォームや、メールアドレス登録フォームなどには、「SSL暗号化通信」を導入しようなどという記述をよく見かけますし、実際、大手のサイトでは、導入されている

  • 解決済

    安全の為にパスワードを表示させない目的とは

    とある会員登録のサイトなどでは入力するものを確認画面するページで、 パスワードは安全の為表示されません と表示されてパスワード以外のものは表示されますが、 なぜパスワ

  • 解決済

    どっちがセキュアですか?「HTTP」と「オレオレ証明書のHTTPS」

     質問 サイトA: HTTPでの通信 サイトB: 自己署名証明書のHTTPSでの通信 のサイトAとサイトBのどちらがセキュアといえるか? という質問です。  質問

  • 解決済

    ruby on railsがインストールできない

    お世話になります. ruby on railsを学習するにあたりインsたっlしようとするとエラーになりますエラーになります [vagrant@localhost ~]$

  • 受付中

    Wordpress マルチサイトについて

    度々、質問申し訳ございません。 「現状」 マルチサイトで子サイトを作りました。 ユーザー名:Aを管理者にしました。 ユーザー名:Bを投稿者にしました。 管理者(ユ

  • 受付中

    Visual Basic 2017 で CSVファイルの読出 書込

    前提・実現したいこと 初心者ですが Visual Basic 2017 で CSVファイルを TextBoxに読出して 変更した内容を CSVファイルに 書込したいのですが どのよ

  • 解決済

    iframeのDOM操作について

    入力を楽にするため、サイトA(自サイト)にiframeを設置し、そこへサイトB(外部サイト)を表示させ、 サイトBのテキストボックスへ値をセットしたいという場合、ドメインをまたがる

同じタグがついた質問を見る

  • HTTP

    561questions

    HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

  • SSL

    518questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

  • HTTPS

    266questions

    HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。

  • Salesforce

    42questions

    Salesforceは、クラウド型の顧客関係管理(CRM)、営業支援(SFA)などのサービスを提供している企業。米カリフォルニア州に本社があり、日本法人は株式会社セールスフォース・ドットコムです。