水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 最近ありがちなHTTPSの罠

最近ありがちなHTTPSの罠

2011年8月10日(水曜日)

最近ありがちなHTTPSの罠

公開: 2011年8月14日0時50分頃

こんな話が……「SSL サイトの大半に脆弱性が存在 (japan.internet.com)」。

Ristic 氏によると、Web アプリケーション レベルでは、不適切な実行によって SSL のセキュリティを無効にするものは数多く存在するという。今回の研究で、Ristic 氏は世界の人気の高い SSL セキュアサイト30万件を分析し、SSL に関連する脆弱性の有無を調べた。その結果、保護されていないクッキーを使用したり、保護されたトラフィックと保護されていないトラフィックを混在させたりといった脆弱性が複数見つかったという。

Cookieのsecure属性なしとか、HTTPSとHTTPが混在しているといった話のようで。いずれも、HTTPSを無意味にする

Cookieの話は、日本では2003年から警告されている定番の話ですね。

この問題は、最近また増えてきているように思います。最近ではセッション管理をフレームワーク任せにしていることが多く、Cookieを意識する必要がなくなってきている、という事情もあるのでしょう。

混在の方も最近よく見ます。HTMLそのものはHTTPSになっているものの、画像、CSS、JSなどの外部リソースがHTTPSになっていないというケースですね。画像やCSSが改竄されれば見た目を変えられてしまいますし、JSの改竄に至ってはもう何でもありになってしまいます。HTTPSで安全性を保証したいのであれば、HTMLだけでなく、これらのリソースもHTTPSにしておく必要があるわけです。

最近は外部サイトのJavaScriptを呼んでいるサイトが多くなってきていますが、script要素のsrc属性にhttp:で始まるURLを書いていて混在になってしまうパターンがありがちです。その手のJSはたいていHTTPSで参照できますので、スキームなしの // で始まる相対参照にすれば解決することが多いです。

いずれも、テストでは気付きにくいという問題があります。テスト環境はそもそもHTTPSになっていなかったり、オレオレ証明書だったりすることが多いためです。見落としがちなので注意したいですね。

関連する話題: Web / セキュリティ / SSL/TLS

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト