けものフレンズBBS NEO

けものフレンズBBS NEO

【SS広場】フレンズと学ぶ〇〇シリーズ / 87

235 コメント
views
89 フォロー
87
むさし 2018/04/11 (水) 22:43:33

アライさん「やめるのだ、フェネック!」

アライさん「ログイン画面だけHTTPSを使って暗号化通信すればパスワードが盗まれないわけではないのだ!」

アライさん「ログイン後もHTTPSじゃないと、トークンを盗んでアカウントが乗っ取れるのだ。」

アライさん「乗っ取りの危機なのだー!」

アライさん「ログイン後もHTTPSで暗号化通信をしないといけないのだ!」

フェネック「そうだねーアライさん、うっかりしてたよ。ありがとー」

フェネック「ちなみに今年の7月あたりChromeではHTTPSでないサイトは全て”安全でないサイト”と認識されて、警告がURLのバーに出るんだよー」

フェネック「この警告はログイン画面があってもなくても関係ないから、やってない人早くやろうねー(某ちゃんねるさんとか)」

フェネック「暗号化してない通信はもう危険な時代になっちゃたんだね。」

のじゃロリ「世知辛いのじゃー」

通報 ...
  • 88
    名無しのフレンズ 2018/04/11 (水) 22:53:05 b5d99@43b29 >> 87

    HTTPSって何だろうと調べたら、そう言う意味か

    HTTPS
    HTTPS (Hypertext Transfer Protocol Secure) は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供されるセキュアな接続の上でHTTP通信を行うことをHTTPSと呼んでいる。 概要 HTTP通信において認証や暗号化を行うために、ネットスケープコミュニケーションズによって開発された。当初、World Wide Web上での個人情報の送信や電子決済など、セキュリティが重要となる通信で使用されるようになった。その後、公衆無線LANの普及やPRISMによる大規模な盗聴、ネット検閲への対抗などを要因として、あらゆるHTTP通信をHTTPSに置き換える動きが活発になっている。 HTTPSは、メッセージを平文のままで送受信する標準のHTTPと異なり、SSL/TLSプロトコルを用いて、サーバの認証・通信内容の暗号化・改竄検出などを行う。これによって、なりすまし・中間者攻撃・盗聴などの攻撃を防ぐことができる。HTTPSでは、ウェルノウンポート番号として443が使われる。 HTTPSによるセキュリティ保護の強度は、Webサーバやブラウザで用いられるSSL/TLSの実装の正確性や、使用する暗号アルゴリズムに依存する(TLSを参照)。 プロキシサーバを介してインターネットにアクセスする場合、HTTPSのSSL/TLS通信時にプロキシサーバをトンネリングする必要がある場合がある。その場合はCONNECTメソッドを使用する。 なお、RFC 2660が規定するS-HTTP(Secure HTTP:Secure HyperText Transfer Protocol)は、httpsスキームで用いられるHTTP over SSL/TLSとは別のプロトコルである。S-HTTPに対応するURIスキームはshttpである。 メリット/デメリット HTTPSを利用するメリット・デメリットは、以下のとおりである。 メリット …
    Wikipedia

  •
    89
    ひねもす 2018/04/11 (水) 23:41:29 >> 87

    自分のホームページ作る予定だから
    気をつけとこう。

  •
    90
    たべないでください⁽˙³˙⁾◟( ˘•ω•˘ )◞⁽˙³˙⁾ 2018/04/12 (木) 08:15:26 >> 87

    セキュリティに詳しい人はhttpだとチョイできるんでしょうかねー。
    この前CPUのセキュリティ対策に関して性能を下げざるを得ないということで騒ぎになりましたが、そんな穴を見つけるのすごい。スーパーインテリジェント。
    91
    むさし 2018/04/12 (木) 10:36:10 >> 90

    といっても、トラップが仕掛けてあるルーターに繋いで貰わないと盗聴は難しいので、ちょちょいではないですね。
    なので、全然聞いたことないフリーWi-Fiとかは仕掛けてある可能性あるので気をつけた方がいいです。

  •
    92
    たべないでください⁽˙³˙⁾◟( ˘•ω•˘ )◞⁽˙³˙⁾ 2018/04/12 (木) 14:02:03 >> 87

    アカウントが盗まれる可能性があるのは危険というのはわかりますが、例えば某ちゃんねるをhttpのまま閲覧した場合の危険性って何ですか?
    通信傍受の際にその他通信の様々な情報が一緒に持っていかれるのでしょうか。
    93
    むさし 2018/04/12 (木) 17:10:21 >> 92

    基本的に危険性はほぼないです。
    中間に入られてサイトの内容を書き換えられるので、全く危険でないと断言出来ませんが最近はブラウザ側のセキュリティも高いので、危険なスクリプトが仕込まれている場合はページを表示しません。

    やり取りする時にも使う情報は盗聴可能です。
    通信の本体もそうですが、それ以外に一番個人情報がありそうなのはクッキーとかも可能です。
    クッキーは同一ドメインで使いまわせるキャッシュみたいなものだと思ってもらって大丈夫です。
    サイトによりますがログイン情報とかそこに入れる場合があります。
    アライさんが言っているトークンが盗まれるというのは、このクッキーにあるログイン情報が盗まれるという意味です。