- ベストアンサー
大手サイトでの非SSLパスワード送信について
- 大手サイトでの非SSLパスワード送信についての重要性
- 現在の大手サイトのSSL導入状況と問題点
- 個人情報の保護とパスワードの暗号化の重要性
- 春原 なの(@ymda)
- お礼率60% (1820/2985)
- アンケート
- 回答数3
- ありがとう数1
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
まぁ、そう簡単に対応できやしない、というシステム上の問題はさておくとして、純粋に自分が嫌かどうかで回答します。 で、俺の答えとしては「どっちでもいい」です。 そもそも個人情報とは、その本人が責任を持って行うのが当然のことです。 システムの対応が不完全な会社へは、キャッシュカードなどの重要な情報を送信すべきではありません。 そういった個人意識の問題を無視して、SSL未対応である点だけを論っても何の意味もないのです。 自分の身は自分で守るものです。 たとえば、パケット盗聴は特殊な機材が必要なので、「怪しいプロバイダを使わない」「怪しい友達を作らない」といった防護策をとれば防げることです。 その程度の努力もせずに、ただ企業の不備を攻めても、それは本人の不甲斐なさを露呈するだけだ、というのが俺の考えです。 これは、護身術もなにも知らない社会弱者を、ただ子供だというだけの理由では警察は守ってあげられないことによく似ています。 無論、1から10まで自分だけで守るとなると、それはもう山奥に1人で住むしかありません。 「何もかも万全だったのに、SSLに対応してなかったために情報が漏れた」なんてことが起こる可能性だってゼロではありません。 しかし、企業を責める前に、「非SSLサイトごとき怖くない」と思える程度の知識は最低限身につけてから、この問題に取り組むべきだと考えています。
その他の回答 (2)
>パケット盗聴は、ウィルス、スパイウェアの進入だけでも、十分可能になります。 その可能性は意味がないのでは……(笑) もし俺が悪い人だったら、そんなことまでできるような相手のパケットをキャプチャーしたりしません。 HDDを全部ひっくり返して金融情報を探します。 まぁ、「ルートのどこかにキャプチャーが……」なんて不安に思う気持ちは分かりますけどね。 でも技術的には簡単でも、「仕かける」という行為自体は簡単なことではありませんよね。 それはちょうど、「今自分がいる部屋のどこかに盗聴器が……!?」と思うようなもので、『そんなことをされる心当たりがあるかどうか』が非常に重要な問題となります。 それはもはや、日々の心がけの問題です。 それから、#2の方の補足に、「SSL化できるのになんでしないの?」と書かれていますね。 これは理由は簡単なことです。現在世の多くで利用されているアパッチサーバーのSSLは、実はまだまだ不安定要素の塊で、ある程度レベルの高い技術者がいないと使えません。システム的に未熟で、不安定であるためです。 ヤフーが「特定のページだけSSL化」という方針を取っていることからも分かるとおり、企業は「不安定な爆弾を抱えてプロバイダ運営を続ける」か「安定してるが安全でないシステムを使う」か「インターネット事業から撤退する」かという三択を迫られているのが現状なんです。 かといって「じゃあ低レベルな技術者はプロバイダ運営をするな」と言ってしまうと、今度はインターネット全体が「エリート主義・金持ち優位主義」に傾いていってしまいます。誰もが自由に使えるインフラであるインターネット業界において、これは許されないことです。 だから、「たしかにみんなが使うのが理想だが、一部の特別な人しか扱えない高等なもの」というのがSSLの現状なのです。
補足
事情があり、遅くなってしまいました。 >HDDを全部ひっくり返して金融情報を探します。 案外、パスワードを共通化している人が多いのもあり、必ずどこかで見つかってしまうものがあるはずです。 インターネットには、1人個人のパスワードが溢れるほどあり、誰しも覚えきれるものではないですからね。 >システム的に未熟で、不安定であるためです。 確かに完全ではありません。いや、Apache自体が今でも不安定要素の集まりです。(だから、A pache でもあるのです) しかし、SSLが一部のサーバーに導入できれば、ログインページから、認証の部分だけでも、SSLがきちんと導入できるはずです。(もちろん、ログインページ自身は非SSLで構いません) 本当の不安定な爆弾と、ユーザーへの安心を与えるべきなのではないかとも思います。 #とはいっても、案外安易なパスワードを設定してたりする人も大勢いますけどね。
- happy_shining
- ベストアンサー率23% (165/688)
私もNo1さんと似たような感じですが どちらでもいいです。 SSLを導入していないのが気になれば そのサービスを利用しなければいいし、 被害が最小限で食い止められる範囲で利用すればいいと思います。 最終的には自分のことは自分で守るです。 ネットの世界は無限に広がってますから。 100%安全なんてないですし・・・ SSLが導入されてるから安心って思っていて そのSSLがいつ破られるかわかりませんし。 破られたらまた新しい保護的なプログラムが作られるのかもしれませんが・・・ いたちごっこかなぁって思ってます。 いつの時代も悪いやつはいるし・・・ そう考えると便利であっても嫌な世の中なんですね・・・(涙)
補足
なんで、悪いことする人がいるんでしょうかねぇ。とか考えてしまうこともありますが・・・(涙) まず、SSLの暗号化自体はどちらにせよ破ることができます。ただし、それには相当の時間と相当のCPUパワーがいるので、実際に盗む行為に出る人ができるようなことではないものです。 少し前までありました、SSL40bitであれば、今の最新スペックあたりのPCで1日以内に解けてしまうというのがあるので、これはまぁ、大問題ですので、多くが128bitを採用してきたという経緯があります。 しかし、今回のアンケートは、暗号化技術のことではなく、暗号化技術を奨励してるのに、どうしてそこだけ暗号化していないのか?ということです。 質問?にも#1の回答にも書きませんでしたが、Yahooオークションだけで見て、ログインにはSSLが対応しています。(デフォルトでは通常ログインで、リンクが存在します)しかし、入札にはSSLが対応していないということです。 これによって、もし、生テキストが漏れてしまって、すぐさま個人情報ページにいけば、個人情報も盗むことができて、かつ、オークション出品し放題(実際にはいたずら)ということができるわけです。 #とはいえ、ある程度、IPばれますけど、気合いれれば、IPを完全に隠して犯罪を起こすこともできます。フリーのtelnetサービスが存在しますし、セキュリティーホールを突けば適当なサーバーのtelnetもし放題になりますからね。 とはいえ、「私自身」は、あくまでも気にしてません。 #気にしてないからといって、じゃ、YahooIDとパスワード教えてくださいっていわれて、はい教えますとは言いませんけど・・・笑
補足
基本的に、セキュリティーを守るのは利用する個人の問題なのですが・・・そのあたりはおいておきましょう(かなり別問題ですので) パケット盗聴は、ウィルス、スパイウェアの進入だけでも、十分可能になります。 もし、勝手にブラウザーのプロクシが設定されたら? tcpdumpで簡単にログがとれます。 コストはサーバーと回線とそのソフトだけなので、下手すれば0円ですね。 DNSサーバーの設定変更を勝手にしても、やはり同じですね。 パケット盗聴には、特殊な機材はいらないのです。 案外、このようなサイトで公開されている匿名プロクシがそういうことしている可能性もありますからね。 http://www.cybersyndrome.net/ プロクシ設定解除を忘れて、オークション入札! なんていったら、パスワードを盗まれるのは当然です。 ただ、私自身は、銀行のネットバンクですら、クレジットカードの入力すらSSLはいらないと思っているのですが、誰でも使える安心を求めるにはやはりSSLによる保護が第一ではないでしょうか? そういう意味で、こういう危機感を、個人ではなく、安全を主張し、かつ、安全を薦めているような大手企業が、本当に認識しているのかどうか?という問題です。 #実際、裏では多くのプレミヤム会員であるYahoo! JapanのIDとパスワードが売買されており、売買しているサイトを拝見したこともあります。ヤフオクのパスワード盗聴の被害にあっている人は結構いるようです。某、大規模掲示板が関わっている噂はありますけどね。