そば屋の独自暗号化が話題に
2011年12月14日(水曜日)
そば屋の独自暗号化が話題に
公開: 2011年12月30日22時10分頃
こんなコンテンツが話題に……「そば屋五兵衛 WEB サイトにて使用されている暗号化技術に関して (www.sobaya-gohei.com)」。
もちろん安全ではないわけですが、安全だと主張しているのか、そうでないのか、良く分からない文章ですね。いちおう以下のような記述がありますので、安全性が低いという自覚はありそうですが。
いわゆる”オレオレ証明書”ですが、データをプレーンテキストのまま送信するよりは安全性が高いかと思います。
SSL/TLSを使った場合と異なり、この手法には以下のような問題点があります。
- サーバ証明書を検証していないため、偽の相手と通信したり、中間者攻撃を受けたりすることを防げない
- 暗号化を実行するスクリプト自体が安全でない経路で送られてくるため、スクリプトそのものが改竄されることを防げない
そもそも暗号化されているのかどうかを利用者が確認する術がないので、攻撃者によって偽フォームに差し替えられていても気付きようがありませんし、防ぐ手段もありません。
安全でないものを「安全だ」と告知していれば問題があると思いますが、安全ではないということを告知して使うのであれば、まあ大きな害はないでしょう。送信される内容によっては、傍受される、改竄される、偽の相手に届く、といった事が起きても許容できる場合があります。利用者が危険性を理解していれば、許容できるような内容しか送らない、という自衛策を取ることができます。
それに対して、本来は安全でないものを「安全だ」と告知している場合は問題です。利用者は、危険だと知らずにセンシティブな内容を送ってしまう可能性があります。そのような事は避けなればならないでしょう。
一般的に、独自の暗号化方式は安全性が検証されていないことが多いです。「面白いから」という理由で使うのはべつに構わないと思いますが、不用意に「安全」を喧伝しないように注意したいところです。
- 「そば屋の独自暗号化が話題に」にコメントを書く
関連する話題: セキュリティ
- 前(古い): 違う質問なのに「同様の調査」
- 次(新しい): 武雄市Facebook化の動機は実名利用にしたかったから
