常時SSLとは?
先週、ベリサインさんでカンファレンスがあったので参加してきました!
その中で常時SSLとbaseline requirementについてもお話があったので、
自分でも調べてまとめてみました。
SSL証明書はこれまではログインの画面や、ネットでのショッピングの際に
選んだものが表示されるショッピングカートのページのみにつけられていました。
常時SSLとは、ログイン画面などだけではなく、
トップページ等ユーザが訪問する全てのページでHTTPS通信を行うようにすることです。
Firesheepなどwifi通信で暗号化されていないセッションを自動的に検出してcookieの
情報を読み取るツール等が出現したことが原因です。
cookieを使うと一度訪問したwebサイトにもう一度訪れた時に、
cookieの情報をもとにwebサイトはユーザを識別することが出来ます。
例えば、何回訪問したかといった情報や、ログイン情報を記憶し入力を省略したり、
見たページから好みに合いそうな商品や広告を表示することができます。
さらに、cookieにはセキュアcookieというものがあります。
セキュアcookieにすると受け渡しするのは暗号化されているhttps通信の時のみにすることができます。
Firesheepはカフェやホテル等、オープンなwifiを通じて
firesheepが登録しているサイトに、暗号化されていないhttp通信でログインしている
ユーザのcookieの情報を簡単に見ることが出来てしまいます。
さらに情報を見るだけではなくその情報を使ってなりすましてアクセスすることだって出来てしまうのです。
そのため全てのページにSSLをかけてhttps通信にすることで
情報を暗号化して守ろう!というのが常時SSLです。Firesheepは暗号化されていないセッションを検出するものなので
https通信にすることでcookieの情報を守ることができます。
すでに常時SSLを実装しているサイトとして、twitterやFacebook、Google等があります。
GoogleではGmailとGoogleAppのユーザ向けに、
Facebookでは選択可能になっていますが約2割のユーザが常時SSLを選択しています。
やりとりをする情報が重要なサイトやログインするユーザの多いサイトでは
セキュリティは常に意識して運営していきましょう!
Comments: 0