Q&A
横から失礼します。
> サイト全体をSSL化する事でGoogleの検索順位に優位な効果がある事も知られていますし、
これってすでに効果が明言されているんでしたっけ?まだ有意な結果は得られない認識でしたが。
お世話になっております。
問い合わせフォームのあるWebサービスはたくさんありますが、個人的に利用している中でsslでないページ上に問い合わせフォームがあるWebサービスがあります。
これってつまり、同一lan内でかつ回線自体が暗号化(wpa2など)されていない場合、パケットの中が丸見えという状態になると思うのですが、認識あってるでしょうか?
これ大丈夫なのかな、と思って調べてみると意外に問い合わせフォームにsslは必要ないと紹介しているページがたくさんあります。
私が利用したサービスは、入力項目にメールアドレスと氏名、問い合わせ内容の記入が必須なのですがこれくらいなら見られても問題ないという考えなのでsslを導入しないサイトは多いのでしょうか?それともやはり金銭的な理由が大きいのでしょうか?
回答4件
0
これってつまり、同一lan内でかつ回線自体が暗号化(wpa2など)されていない場合、パケットの中が丸見えという状態になると思うのですが、認識あってるでしょうか?
WPA2は無線LANの暗号化の規格なので、ここで引き合いに出すのは微妙かと思います。同一LAN内に攻撃者がいれば、確かにARPスプーフィング等で盗聴ができますが、通常はLAN内には攻撃者はいないと想定しているネットワークが多いのが現状ではないかと思います。問い合わせフォームに限らず、同一LAN内に攻撃者がいれば、企業情報の取得など様々な攻撃が可能で、標的型攻撃が成功しやすいのはこの理由が大きいと思います。
つまり、通信路上に攻撃者がいれば確かに盗聴される可能性はあるが、そのようなケースはほとんどないと想定しているのが、通常の企業ネットワークであったり、問い合わせフォームの前提条件になっている、ということなのだと思います。
また、問い合わせフォームの代わりにメールを利用することを想定すると、メールの通信は、SSL/TLSで暗号化する場合もありますが、基本的には暗号化されていない想定なわけで、それと比較して、HTTPSを使わない問い合わせフォームが特段危険とまでは言えないわけです。
ただし、不特定多数が利用する問い合わせフォームに戻ると、利用者が公衆無線LANを使うケースが増えたことから、盗聴されるリスクは昔にくらべて高くなっています。また、HTTPSを利用するためのコストは下がっていることから、「入力項目にメールアドレスと氏名、問い合わせ内容」程度の内容でもHTTPSにするサイトは増えてきていますし、今後はそうすることが望ましいだろう、と思います。
投稿2017/01/23 04:17
総合スコア11701
0
ベストアンサー
SSL導入すべきと思います。
メールは暗号化していないのにWEBだけだと片手落ち、という意見はわかりますが、だからと言ってノーガードと言うのは問題ではないでしょうか。
ちなみに金銭的な問題であれば、今はSSL証明書は無料で利用できるものがいくつもあります。
導入の際にエンジニアの費用は多少発生しますが、調べながら行うレベルのエンジニアでも、30分もあれば出来てしまう程度の設定です。
レンタルサーバーでは共有のSSL証明書が使えたりするオプションもあります。(これは有料のケースもあるでしょうが)
これを理由に、顧客やユーザーに不利益となる状況を放置するのは、ynakanoさんの言葉通りサービス提供側としては「意識が低い」と感じます。
また、問い合わせフォームだけでなく、サイト全体をSSL化する事でGoogleの検索順位に優位な効果がある事も知られていますし、サーバ側の設定を行えばHTTP2.0での高速通信も可能になります。
やっても無駄という意見を見るのであれば、是非やったことでどういう利点があるかについても考えてみてください。
投稿2017/01/23 04:52
総合スコア5405
https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html
Googleがそう言っているので、そう思っています。
測定されているかどうかはともかく、SSLを優遇するというアナウンスはGoogle自体がしています
Google が SSL の優遇アナウンスや、実際色々施策も打ってることは知っていますが、SSL 化によってランキングに有意な影響があるかというと、明確な結果は測定されていないんじゃないかなぁと横から質問しました。
リンクによると、2014年時点で1%ということなので、ランキングへの影響は誤差の範囲っぽいですが、現在はもっと影響が出ているのかもしれないですね。
回答ありがとうございます。
やはりノーガードはよくないですよね。
無料も存在するということなので作成する際は取り入れる方向で考えようと思います。
個人的な体験として、問い合わせフォームに限らず、既存のサイトを後からSSL化するといろいろ不具合というかデメリットも多かったです。Google検索の優遇も特に体感できなかったし。
これから新規サイトを作るのであれば当然SSL(Let's encryptで十分)がいいと思いますが、既存サイトをSSL化する場合はデメリットについても調べて、よく考えてから実行したほうがいいと思います。
0
「これ大丈夫なのかな」が何に対しての感想なのかによると思います。
情報を取り扱う会社として大丈夫かと言われれば、大丈夫じゃありません。
問い合わせフォームを使って大丈夫かと言われれば、問い合わせ用の捨てアドレスを使用するなり、提示する情報を絞るなりして、対策を行うことで問題はないです。
SSL化していないサイトは、コスト云々以前にSSL化の必要性の吟味すらしていないと思います。多分セキュリティ観点での検討をしておらず、困ったことをしている認識すら無いところが多いと思いますよ。
投稿2017/01/23 04:45
退会済みユーザー
総合スコア0
0
パケットの中が丸見えという状態になると思うのですが、認識あってるでしょうか?
ご認識の通りです。
「丸見え」の表現ほどに簡単とは思わないですが、判読可能な状態でパケットが流れていることは間違いないです。
調べてみると意外に問い合わせフォームにsslは必要ないと紹介しているページがたくさんあります。
私も「へー」と思って調べてみました。
そう書いてあるページが少なからずあって驚きましたが、納得できたのは「メールと絡めている場合、SMTPが平文なんだからWebだけ暗号化してもムダ」という点だけです。
確かにそれでは片手落ちですから。
それを別にすれば個人的にはSSLを導入していないサイトは「意識が低いな」と思ってしまいます。
氏名は言うに及ばず、メールアドレスも個人情報でしょうし問い合わせ内容も場合によってはセンシティブな内容が記載されると思います。
(本名でなくてもよいとか、フリーメールの捨てアドとか、というのは一旦置いておいて)
理由についてですが、まぁやはり金銭的なものだと思います。
ただそれは金銭単独の要因ではなくて、冒頭書いた「SSL化してもムダだよ」という話(をナナメ読みした結果)との複合になってくるのではないかと思います。
SSL化しても仕方ないのにそこに費用をかける必要はないよね、という判断になってしまうのではないでしょうか。
投稿2017/01/23 04:08
編集2017/01/23 04:10
総合スコア1894
回答ありがとうございます。
メールが平文だからといってフォームも平文にするのはちょっと変ですね。
>メールアドレスも個人情報でしょうし
「メールアドレスと氏名のセット」であれば個人情報ですが、メールアドレスのみでは個人情報に該当しないはずですが。
そもそも仮に個人情報に該当するものであっても、5000人以上の情報を扱う組織以外には、個人情報保護の義務は法的には課せられていないはずです。
意識が高すぎて、ほとんどありもしないリスク(ユーザ数が非常に少ないサイトからの情報漏れ)まで想定して対処するのは単なる「意識高い系」で、やりすぎとも思います。コストは有限なので。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/01/24 05:50