むさし
orange634
2018/04/11 (水) 22:43:33
アライさん「やめるのだ、フェネック!」
アライさん「ログイン画面だけHTTPSを使って暗号化通信すればパスワードが盗まれないわけではないのだ!」
アライさん「ログイン後もHTTPSじゃないと、トークンを盗んでアカウントが乗っ取れるのだ。」
アライさん「乗っ取りの危機なのだー!」
アライさん「ログイン後もHTTPSで暗号化通信をしないといけないのだ!」
フェネック「そうだねーアライさん、うっかりしてたよ。ありがとー」
フェネック「ちなみに今年の7月あたりChromeではHTTPSでないサイトは全て”安全でないサイト”と認識されて、警告がURLのバーに出るんだよー」
フェネック「この警告はログイン画面があってもなくても関係ないから、やってない人早くやろうねー(某ちゃんねるさんとか)」
フェネック「暗号化してない通信はもう危険な時代になっちゃたんだね。」
のじゃロリ「世知辛いのじゃー」
通報 ...
HTTPSって何だろうと調べたら、そう言う意味か
自分のホームページ作る予定だから
気をつけとこう。
セキュリティに詳しい人はhttpだとチョイできるんでしょうかねー。
この前CPUのセキュリティ対策に関して性能を下げざるを得ないということで騒ぎになりましたが、そんな穴を見つけるのすごい。スーパーインテリジェント。
といっても、トラップが仕掛けてあるルーターに繋いで貰わないと盗聴は難しいので、ちょちょいではないですね。
なので、全然聞いたことないフリーWi-Fiとかは仕掛けてある可能性あるので気をつけた方がいいです。
アカウントが盗まれる可能性があるのは危険というのはわかりますが、例えば某ちゃんねるをhttpのまま閲覧した場合の危険性って何ですか?
通信傍受の際にその他通信の様々な情報が一緒に持っていかれるのでしょうか。
基本的に危険性はほぼないです。
中間に入られてサイトの内容を書き換えられるので、全く危険でないと断言出来ませんが最近はブラウザ側のセキュリティも高いので、危険なスクリプトが仕込まれている場合はページを表示しません。
やり取りする時にも使う情報は盗聴可能です。
通信の本体もそうですが、それ以外に一番個人情報がありそうなのはクッキーとかも可能です。
クッキーは同一ドメインで使いまわせるキャッシュみたいなものだと思ってもらって大丈夫です。
サイトによりますがログイン情報とかそこに入れる場合があります。
アライさんが言っているトークンが盗まれるというのは、このクッキーにあるログイン情報が盗まれるという意味です。