水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > そば屋の独自暗号化が話題に

そば屋の独自暗号化が話題に

2011年12月14日(水曜日)

そば屋の独自暗号化が話題に

公開: 2011年12月30日22時10分頃

こんなコンテンツが話題に……「そば屋五兵衛 WEB サイトにて使用されている暗号化技術に関して (www.sobaya-gohei.com)」。

もちろん安全ではないわけですが、安全だと主張しているのか、そうでないのか、良く分からない文章ですね。いちおう以下のような記述がありますので、安全性が低いという自覚はありそうですが。

いわゆる”オレオレ証明書”ですが、データをプレーンテキストのまま送信するよりは安全性が高いかと思います。

SSL/TLSを使った場合と異なり、この手法には以下のような問題点があります。

そもそも暗号化されているのかどうかを利用者が確認する術がないので、攻撃者によって偽フォームに差し替えられていても気付きようがありませんし、防ぐ手段もありません。

安全でないものを「安全だ」と告知していれば問題があると思いますが、安全ではないということを告知して使うのであれば、まあ大きな害はないでしょう。送信される内容によっては、傍受される、改竄される、偽の相手に届く、といった事が起きても許容できる場合があります。利用者が危険性を理解していれば、許容できるような内容しか送らない、という自衛策を取ることができます。

それに対して、本来は安全でないものを「安全だ」と告知している場合は問題です。利用者は、危険だと知らずにセンシティブな内容を送ってしまう可能性があります。そのような事は避けなればならないでしょう。

一般的に、独自の暗号化方式は安全性が検証されていないことが多いです。「面白いから」という理由で使うのはべつに構わないと思いますが、不用意に「安全」を喧伝しないように注意したいところです。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト