2011年8月10日(水曜日)
最近ありがちなHTTPSの罠
公開: 2011年8月14日0時50分頃
こんな話が……「SSL サイトの大半に脆弱性が存在 (japan.internet.com)」。
Ristic 氏によると、Web アプリケーション レベルでは、不適切な実行によって SSL のセキュリティを無効にするものは数多く存在するという。今回の研究で、Ristic 氏は世界の人気の高い SSL セキュアサイト30万件を分析し、SSL に関連する脆弱性の有無を調べた。その結果、保護されていないクッキーを使用したり、保護されたトラフィックと保護されていないトラフィックを混在させたりといった脆弱性が複数見つかったという。
Cookieのsecure属性なしとか、HTTPSとHTTPが混在しているといった話のようで。いずれも、HTTPSを無意味にする
Cookieの話は、日本では2003年から警告されている定番の話ですね。
この問題は、最近また増えてきているように思います。最近ではセッション管理をフレームワーク任せにしていることが多く、Cookieを意識する必要がなくなってきている、という事情もあるのでしょう。
混在の方も最近よく見ます。HTMLそのものはHTTPSになっているものの、画像、CSS、JSなどの外部リソースがHTTPSになっていないというケースですね。画像やCSSが改竄されれば見た目を変えられてしまいますし、JSの改竄に至ってはもう何でもありになってしまいます。HTTPSで安全性を保証したいのであれば、HTMLだけでなく、これらのリソースもHTTPSにしておく必要があるわけです。
最近は外部サイトのJavaScriptを呼んでいるサイトが多くなってきていますが、script要素のsrc属性にhttp:で始まるURLを書いていて混在になってしまうパターンがありがちです。その手のJSはたいていHTTPSで参照できますので、スキームなしの // で始まる相対参照にすれば解決することが多いです。
いずれも、テストでは気付きにくいという問題があります。テスト環境はそもそもHTTPSになっていなかったり、オレオレ証明書だったりすることが多いためです。見落としがちなので注意したいですね。
- 「最近ありがちなHTTPSの罠」にコメントを書く
- 前(古い): 2011年8月9日(Tuesday)のえび日記
- 次(新しい): 2011年8月11日(Thursday)のえび日記
