FC2ブログ

改めて…HTTPSについて学ぶ

本日の宿題「高度を目指す一日一題宿題メールマガジン」より
------------------------------------------------------------------------
 攻撃に HTTP over TLS (HTTPS) が使われた場合に起こり得ることはどれか。

 ア HTTPS を使った SQL インジェクション攻撃を受けると,Web アプリケーション
  でデータベースへの不正な入力をチェックできないので,悪意のある
  SQL が実行されてしまう。

 イ HTTPS を使ったクロスサイトスクリプティング攻撃を受けると,
  Web ブラウザでプログラムやスクリプトを実行しない設定にしても実行
  を禁止できなくなるので、悪意のある Web サイトからダウンロードさ
  れたプログラムやスクリプトが実行されてしまう。

 ウ HTTPS を使ったブルートフォース攻撃を受けると,ログイン試行の
  チェックができないので,Web アプリケーションでアカウントロック
  などの対策が実行できなくなってしまう。

 エ 攻撃者が社内ネットワークに仕掛けたマルウェアによって HTTPS が
  使われると,通信内容がチェックできないので,秘密情報が社外に送信
  されてしまう。

------------------------------------------------------------------------
HTTP over TLS (HTTPS)

HTTPSで通信が行われている場合、アクセスしているWebサーバ上の資源(ファイルなど)を表すURL/URI(Webアドレス)の先頭部分(スキーム名)が、通常の(非暗号化)HTTPの場合の「http://」に代えて「https://」となっており、これを見れば暗号化されていることが確認できる。また、暗号化にはデジタル証明書が用いられるため、証明書の発行元(認証局)や、発行元に登録されたWebサーバ運営者の身元情報などを知ることができる。(e-wordsより引用)




最近は暗号化されているサイトも多くなりましたけれど、これを逆手に取った
攻撃は何かっていう問のようですね。

でも、HTTPSのデメリットを知らないと答えられない問題でもあるようです。
そこで、別のサイトの記事で探してみました。


 HTTPS化すると通信内容が暗号化され、第三者による盗聴などができなくなる。だがその一方で、経路の途中にあるファイアウォールやゲートウェイなどでのウイルスチェックも行えなくなる。この結果企業などでは、エンドユーザーが悪意のあるWebサイトに直接接続してウイルスなどに感染してしまう可能性が高くなる。

 これを避けるには、全てのクライアントシステムにウイルス対策ソフトを導入したり、HTTPS通信に対応したゲートウェイ/プロキシ型の対策システム(HTTPSのサーバやクライアントとして振る舞うような形態のゲートウェイ)を導入したりする必要がある。

 ただしHTTPSを使っても接続先のIPアドレス情報が秘匿されるわけではないので、IPアドレスやドメイン名などを使った、IPやTCPレベルでのパケットフィルタリングはHTTPの場合と同様に適用可能である。



「HTTPSとは」 @IT より引用


ここで、 ウイルスチェックも行えなくなる という点に
着目してみると、な〜んとなく答が分かってくる感じがしますね。



にほんブログ村 資格ブログ IT系資格へ
にほんブログ村
関連記事
スポンサーサイト



テーマ : 日々の勉強
ジャンル : 日記

コメントの投稿

非公開コメント

プロフィール

ねこママ_1

Author:ねこママ_1
ねこママです。

短大の国文科出身ということもあり、生涯学習に選んだのが漢検。それ以外にも資格試験にチャレンジしていたりする猫。

人生山あり谷ありですが、時には「諦めないこと」に拘ることも必要だと思っています。


■こちらは、姉妹ブログです。
転んでも転んでも立ち上がる 諦めないための記録
ねこママの読書ノート

最新記事
最新コメント
月別アーカイブ
カテゴリ
にほんブログ村
にほんブログ村 資格ブログへ
にほんブログ村
にほんブログ村 主婦日記ブログ 勉強している主婦へ
にほんブログ村
カウンター
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR