PAYPALのcURL を使用した信用証明書の指定に関するセキュリティに関して

PayPal NVP(名前-値ペア)API のドキュメントの中に以下のような文言があります。

cURL を使用した信用証明書の指定
以下の例は、cURL を使用して署名を指定する 1 つの方法を示しています。

curl --insecure https://api-3t.sandbox.paypal.com/nvp -d ^
"METHOD=name^ &VERSION=XX.0^ &USER=API_username^ &PWD=API_password^ &SIGN
ATURE=API_signature^ &..."

> **注: この例ではセキュアな接続は確立されないため、paypal.com の実稼働環境での使用は控えてください。**

この**実稼働環境での使用は控えて下さい。**というコメントの意味がよくわかりません。

どのような問題点があるのでしょうか？
ご教示いただけると幸いです。

行動規範の内容に同意します

回答1件

ベストアンサー

--insecureオプションをつけると，「通信は暗号化されるけど相手が本物かどうかは証明されない」ということになります．

悪意のあるものが設置したWi-Fiアクセスポイントに誤って接続してしまった (アクセスポイント自体の暗号化の有無は無関係）
DNSサーバが攻撃されてキャッシュが汚染され，IPアドレスの対応付けが悪意のあるサイトのほうに向いてしまった(インターネット10分講座：DNSキャッシュポイズニング)

こういった場合に中間者攻撃が成立する恐れがあります．

Wikipedia - 中間者攻撃

投稿2016/04/14 10:20

編集2016/04/14 10:23

mpyw

総合スコア5223

退会済みユーザー

2016/04/14 11:25

ありがとうございます！ insecureオプションが問題だったのですね。オプションありとなしで試してみたのですが、結果に変化はありませんでした。当たり前といえば当たり前なのですが。。。このドキュメントでは、なぜわざわざinsecureオプションを使用しているのでしょうか？とりあえず、問題点が解消されたので、先にすすめそうです。

行動規範の内容に同意します