GoogleがGmailのデフォルトHTTPS化を検討している
スポンサーリンク
このドキュメントの内容は、以下の通りです。
GoogleがWebメールサービス Gmailのデフォルトの接続方式を HTTPS に変更することを検討しています。プライバシーの専門家からセキュリティ強化の要請を受けて検討しているそうです。パフォーマンスへの影響を吟味してから決定する予定です。グーグル、Gmailの「HTTPS接続」デフォルト化を検討 ヤフー
グーグル、Gmailの「HTTPS接続」デフォルト化を検討 Computerworld.jp
Gmailのデフォルトの接続は、HTTPであるため、セッションハイジャックを用いてGoogleアカウントを乗っ取られたら、メールを読まれる危険性があるとGoogleに専門家が主張しています。
誰かの身元情報を盗むためにまず狙うのは、メールの受信箱であり、暗号化されていないメールは危険であると主張されています。
GoogleがHTTPS接続をデフォルトにしない理由として、Webサイトのスピードが遅くなることを挙げてきています。
安全ではないセッション
Webアプリケーションの多くのセッションが安全ではないという問題は、長い間、ずっと議論され続けてきた問題です。
パーソナライズされたサービスやCGM系で個人を識別してサービスを行うには、たいてい、ログインという認証(Authenticatino)の処理を経て、得られた証明書(Credential)を利用してアクセス許可(Authorization)をされます。
ここでいう証明書は、多くの場合、Cookieです(GET/POSTでtokenを引き回すこともあります)。
ログイン処理を行う場合、たいていHTTPS(SSL)で行われます。
これは、サイトの真正性や暗号化通信によりパスワードを保護することが目的です。
ログイン処理がHTTPSのときに、CookieもHTTPSの通信の間に発行されるでしょう。しかし、このログイン処理後のページの多くは、HTTPで提供されます。
色々なサービスをやっているWebサイトでは、1つのCookieでどのサービスも利用することが可能です。それぞれのサービスは、HTTPやHTTPSで提供されているでしょう。HTTPの通信が盗聴されるとCookieを盗まれるかもしれません。盗まれたCookieを利用して、パスワード再確認がセッションのはじめに入らないWebアプリケーションならたいていのものが利用可能になるでしょう。
そういう意味で、セッションは安全ではないかもしれません。
セキュア通信のためのコスト
HTTPSにすることで暗号化/復号化の処理が増えるため、通信が遅くなります。
通信が遅くなることだけでなく、セキュアな通信のための暗号処理は、CPUの負担になります。意外とこのSSLの処理が重たいです。大量のHTTPSをさばく必要がある場合には、CPUを増設して対応したりせず、CPUで処理せずにPCI接続などでつけられるSSLアクセラレータというハードウェアをサーバに接続し、SSLのカードで暗号を処理します。カード型ではなく、アプライアンス型も存在します。
HTTPSにすると処理スピードが遅くなるため、その分、サーバも増やしたくなります。サーバを増やすと、その分、SSL証明書が必要になります。
そういうわけで、HTTPS化するということは、
- ハードウェア(マシン)
- SSLアクセラレータ x マシンの台数 or SSLアクセラレータアプライアンス型
- SSL証明書
- マシンを置くスペース(主にデータセンター) 電気をさらに消費し、熱をさらに排出します。 というコストが増えます。
どのようにセッションは盗まれるか?
セッションがハイジャックされるというのは、どのような時でしょうか?
- XSS(Cross Site Scripting) で Cookie が盗難された
- 無線LANを暗号化なし、または、安全ではない暗号通信の無線LANを利用している
- 通信経路(プロバイダやバックボーンの提供者)で盗み見られる
セッションを守るために
もし、Webメールサービスのセッションを守ろうと思うなら、以下のことが必要になるでしょう。
- ログイン処理か、パスワード再確認時にWebメールサービス用の専用のセキュアなCookie(証明書,Credential)を作成する。
- 通信はHTTPS化する
感想
セッションが盗まれるという心配は、あまり感じていません。
セキュアなことはいいことですが、スピードを下げるのもいやだなぁ、ということです。
スポンサーリンク
スポンサーリンク
いつもシェア、ありがとうございます!
もっと情報を探しませんか?
関連記事
最近の記事
- パナソニック ジェットウォッシャードルツ EW-DJ61-Wのホースの修理
- LinuxセキュリティモジュールIntegrity Policy Enforcement
- アマゾンのEcho Show 5を買ったのでレビューします
- アマゾンのサイバーマンデーはAlexa Echo Show 5が安い
- Android スマートフォン OnePlus 7T と OnePlus 7の違い
- Android スマートフォン OnePlus 7 をAndroid10にアップデートしてみた
- クレジットカードのバーチャルカードの比較のまとめ
- 活動量計 Xiaomi Mi Band 4を買ってみたのでレビュー
- Android スマートフォン OnePlus 7 のレビュー
- AliExpressでスマートフォンを買い物してみた
- パソコンのホコリ対策 レンジフードフィルターと養生テープ
- 80PLUS GOLDのPC電源ユニットAntec NeoEco 750 Goldのレビュー
- イギリスの付加価値税 VAT は払い戻しを受けられる
- イギリスのロンドンでスーツケースなど荷物を預けられる場所は
- イギリスのロンドンで地下鉄やバスに乗るならオイスターカードを使おう
- イギリスのヒースロー空港からロンドン市内への行き方
- 航空便でほかの航空会社に乗り継ぎがある場合のオンラインチェックイン
- SFC会員がANA便ではなくベトナム航空のコードシェアを試して解ったこと
- ベトナムの入国審査でeチケットの掲示が必要だった話
- シアトルの交通ICカードはオルカカード(Orca)です
人気のページ
- Windows7 IME 辞書ツールで単語の登録に失敗しました
- C言語 popen()でコマンドを実行して出力を読み込む
- Windows7で休止状態にする方法
- CentOS MySQLの起動、停止、再起動
- loggerコマンドでsyslogにエラーを出力する方法
- パソコンパーツの買取をしてくれる店のまとめ
- Java Mapの使い方 get(),put(),remove(),size(),clear()
- 楽天のRポイントカードを作ってみた
- iPhone 5 から iPhone 6 に乗り換えたのでレビュー
- netstatコマンドのステータスの意味
スポンサーリンク
過去ログ
2020 : 01 02 03 04 05 06 07 08 09 10 11 122019 : 01 02 03 04 05 06 07 08 09 10 11 12
2018 : 01 02 03 04 05 06 07 08 09 10 11 12
2017 : 01 02 03 04 05 06 07 08 09 10 11 12
2016 : 01 02 03 04 05 06 07 08 09 10 11 12
2015 : 01 02 03 04 05 06 07 08 09 10 11 12
2014 : 01 02 03 04 05 06 07 08 09 10 11 12
2013 : 01 02 03 04 05 06 07 08 09 10 11 12
2012 : 01 02 03 04 05 06 07 08 09 10 11 12
2011 : 01 02 03 04 05 06 07 08 09 10 11 12
2010 : 01 02 03 04 05 06 07 08 09 10 11 12
2009 : 01 02 03 04 05 06 07 08 09 10 11 12
2008 : 01 02 03 04 05 06 07 08 09 10 11 12
2007 : 01 02 03 04 05 06 07 08 09 10 11 12
2006 : 01 02 03 04 05 06 07 08 09 10 11 12
2005 : 01 02 03 04 05 06 07 08 09 10 11 12
2004 : 01 02 03 04 05 06 07 08 09 10 11 12
2003 : 01 02 03 04 05 06 07 08 09 10 11 12