HTTPとHTTPSの混在について

IEBlogの「Internet Explorer 9 Security Part 4: Protecting Consumers from Malicious Mixed Content」を読んだ。

HTTPSページ中の画像

HTTPSのページの中にHTTPの画像などが含まれていると、man-in-the-middle攻撃の危険がある。Chrome13はこの危険性を無視するが、IE9は警告する。


IEが以前のバージョンからその警告を出してきた事を私は評価しているのだけど、残念ながら多くのユーザはその警告を無視するだろう。何が問題なのか、一般ユーザにはわからないからだ。


昔はAmazonのサイトでもこの警告が出たものだが、さすがに今はすべての画像がHTTPSで配信されているようだ。


最後に、IE9の開発用機能が紹介されている。この脆弱性をサイトの開発時に発見する機能は、ぜひ使用を検討してみるべきだろう。

認証時のHTTPS

この記事では触れられていないが、少なくとも日本国内において、HTTPSについてはもっとひどい誤解もある。
なんと、ログインフォームをHTTPで配信してしまうのである。


たとえば、ハンゲームのサイトがそうだ。
ユーザはこのログインフォームに認証情報を入力するのだが、このフォームがどのサーバから送信されたものか確認できない。


「ログイン」ボタンを押した先がHTTPSなら、確かにパスワードは暗号化される。しかし、それだけでは不十分。そのログインフォームは攻撃者のサーバから送られているかもしれない。SSLのもっとも重要な機能はサーバ認証であり、サーバ認証なしの暗号化など大した意味はない。攻撃者と暗号化通信をしたいと思う人はいないだろう。


だから、フォームがHTTPSで送信されていなければ、ユーザはそこにパスワードを入力してはならない(困ったことに、躊躇すらしないのだが)。


このハンゲームというのはオンラインゲーム大手らしい。トップページをHTTPSで配信するコストを気にするなら、同業のGAMECITYのように専用のログインページを用意するべきだろう。