HTTPの仕様による脆弱性と対策 [情報セキュリティ]
HTTP(プロトコル)の仕様による脆弱性
ベーシック認証では、Webサーバで認証情報を管理する必要があるため、漏えいなどの危険性が高まる
HTTP(プロトコル)の仕様による脆弱性への対策
- HTTPでは通信データが平文でネットワーク中を流れるため、パケット盗聴によって重要な情報が盗まれたり、改ざんされる可能性がある
- ベーシック認証の脆弱性により、パケット盗聴によって認証情報が盗まれる危険性が高い
- HTTPの基本機能であるベーシック認証では、入力された認証情報(ユーザIDとパスワード)がBASE64エンコードされ、ネットワーク中を流れる
- BASE64はバイナリデータをテキストデータに変換する方式であり、エンコードされたデータを復元(デコード)することは容易である
- ベーシック認証では、HTTPリクエストのたびに認証情報が送信される
- 上記の理由から、HTTPでベーシック認証を行っている場合には、パケット盗聴によって認証情報を盗むことは容易である
- 認証情報の一元管理ができず、管理が煩雑になる
- 上記により、漏えいの危険性も高まる
HTTP(プロトコル)の仕様による脆弱性への対策
- 重要な情報を取り扱うWebページではHTTPS(SSL/TLS)によって通信する
- HTTPのベーシック認証は極力使用せず、認証用の入力フォームを用いる(フォーム認証)か、チャレンジレスポンス方式とMD5の採用によって認証情報が秘匿化されるHTTPダイジェスト認証を用いる
- 認証を行う画面では必ずHTTPSを使用する
- ベーシック認証では、認証後もHTTPリクエストのたびに認証情報が送信されるため、全てHTTPSを使用する必要がある
- フォーム認証では認証情報はWebサーバで管理せず、データベースなどを用いて管理する
情報処理教科書 情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)
- 作者: 上原 孝之
- 出版社/メーカー: 翔泳社
- 発売日: 2013/09/13
- メディア: 単行本(ソフトカバー)