改めて…HTTPSについて学ぶ

本日の宿題「高度を目指す一日一題宿題メールマガジン」より
------------------------------------------------------------------------
 攻撃に HTTP over TLS (HTTPS) が使われた場合に起こり得ることはどれか。

 ア HTTPS を使った SQL インジェクション攻撃を受けると,Web アプリケーション
  でデータベースへの不正な入力をチェックできないので,悪意のある
  SQL が実行されてしまう。

 イ HTTPS を使ったクロスサイトスクリプティング攻撃を受けると,
  Web ブラウザでプログラムやスクリプトを実行しない設定にしても実行
  を禁止できなくなるので、悪意のある Web サイトからダウンロードさ
  れたプログラムやスクリプトが実行されてしまう。

 ウ HTTPS を使ったブルートフォース攻撃を受けると,ログイン試行の
  チェックができないので,Web アプリケーションでアカウントロック
  などの対策が実行できなくなってしまう。

 エ 攻撃者が社内ネットワークに仕掛けたマルウェアによって HTTPS が
  使われると,通信内容がチェックできないので,秘密情報が社外に送信
  されてしまう。

------------------------------------------------------------------------
HTTP over TLS (HTTPS)

HTTPSで通信が行われている場合、アクセスしているWebサーバ上の資源(ファイルなど)を表すURL/URI(Webアドレス)の先頭部分(スキーム名)が、通常の(非暗号化)HTTPの場合の「http://」に代えて「https://」となっており、これを見れば暗号化されていることが確認できる。また、暗号化にはデジタル証明書が用いられるため、証明書の発行元(認証局)や、発行元に登録されたWebサーバ運営者の身元情報などを知ることができる。(e-wordsより引用)




最近は暗号化されているサイトも多くなりましたけれど、これを逆手に取った
攻撃は何かっていう問のようですね。

でも、HTTPSのデメリットを知らないと答えられない問題でもあるようです。
そこで、別のサイトの記事で探してみました。


 HTTPS化すると通信内容が暗号化され、第三者による盗聴などができなくなる。だがその一方で、経路の途中にあるファイアウォールやゲートウェイなどでのウイルスチェックも行えなくなる。この結果企業などでは、エンドユーザーが悪意のあるWebサイトに直接接続してウイルスなどに感染してしまう可能性が高くなる。

 これを避けるには、全てのクライアントシステムにウイルス対策ソフトを導入したり、HTTPS通信に対応したゲートウェイ/プロキシ型の対策システム(HTTPSのサーバやクライアントとして振る舞うような形態のゲートウェイ)を導入したりする必要がある。

 ただしHTTPSを使っても接続先のIPアドレス情報が秘匿されるわけではないので、IPアドレスやドメイン名などを使った、IPやTCPレベルでのパケットフィルタリングはHTTPの場合と同様に適用可能である。



「HTTPSとは」 @IT より引用


ここで、 ウイルスチェックも行えなくなる という点に
着目してみると、な〜んとなく答が分かってくる感じがしますね。



にほんブログ村 資格ブログ IT系資格へ
にほんブログ村
スポンサーサイト

テーマ : 日々の勉強 - ジャンル : 日記

コメント

コメントの投稿

トラックバック


この記事にトラックバックする(FC2ブログユーザー)