スポンサーリンク

このドキュメントの内容は、以下の通りです。

GoogleがWebメールサービス Gmailのデフォルトの接続方式を HTTPS に変更することを検討しています。プライバシーの専門家からセキュリティ強化の要請を受けて検討しているそうです。パフォーマンスへの影響を吟味してから決定する予定です。
グーグル、Gmailの「HTTPS接続」デフォルト化を検討 ヤフー

グーグル、Gmailの「HTTPS接続」デフォルト化を検討 Computerworld.jp

Gmailのデフォルトの接続は、HTTPであるため、セッションハイジャックを用いてGoogleアカウントを乗っ取られたら、メールを読まれる危険性があるとGoogleに専門家が主張しています。
誰かの身元情報を盗むためにまず狙うのは、メールの受信箱であり、暗号化されていないメールは危険であると主張されています。

GoogleがHTTPS接続をデフォルトにしない理由として、Webサイトのスピードが遅くなることを挙げてきています。

安全ではないセッション


Webアプリケーションの多くのセッションが安全ではないという問題は、長い間、ずっと議論され続けてきた問題です。

パーソナライズされたサービスやCGM系で個人を識別してサービスを行うには、たいてい、ログインという認証(Authenticatino)の処理を経て、得られた証明書(Credential)を利用してアクセス許可(Authorization)をされます。

ここでいう証明書は、多くの場合、Cookieです(GET/POSTでtokenを引き回すこともあります)。

ログイン処理を行う場合、たいていHTTPS(SSL)で行われます。
これは、サイトの真正性や暗号化通信によりパスワードを保護することが目的です。

ログイン処理がHTTPSのときに、CookieもHTTPSの通信の間に発行されるでしょう。しかし、このログイン処理後のページの多くは、HTTPで提供されます。
色々なサービスをやっているWebサイトでは、1つのCookieでどのサービスも利用することが可能です。それぞれのサービスは、HTTPやHTTPSで提供されているでしょう。HTTPの通信が盗聴されるとCookieを盗まれるかもしれません。盗まれたCookieを利用して、パスワード再確認がセッションのはじめに入らないWebアプリケーションならたいていのものが利用可能になるでしょう。

そういう意味で、セッションは安全ではないかもしれません。

セキュア通信のためのコスト


HTTPSにすることで暗号化/復号化の処理が増えるため、通信が遅くなります。
通信が遅くなることだけでなく、セキュアな通信のための暗号処理は、CPUの負担になります。意外とこのSSLの処理が重たいです。大量のHTTPSをさばく必要がある場合には、CPUを増設して対応したりせず、CPUで処理せずにPCI接続などでつけられるSSLアクセラレータというハードウェアをサーバに接続し、SSLのカードで暗号を処理します。カード型ではなく、アプライアンス型も存在します。

HTTPSにすると処理スピードが遅くなるため、その分、サーバも増やしたくなります。サーバを増やすと、その分、SSL証明書が必要になります。

そういうわけで、HTTPS化するということは、
  • ハードウェア(マシン)
  • SSLアクセラレータ x マシンの台数 or SSLアクセラレータアプライアンス型
  • SSL証明書
  • マシンを置くスペース(主にデータセンター) 電気をさらに消費し、熱をさらに排出します。 というコストが増えます。
そして、Webアプリケーションの動作が若干遅くなります。

どのようにセッションは盗まれるか?


セッションがハイジャックされるというのは、どのような時でしょうか?

  • XSS(Cross Site Scripting) で Cookie が盗難された
  • 無線LANを暗号化なし、または、安全ではない暗号通信の無線LANを利用している
  • 通信経路(プロバイダやバックボーンの提供者)で盗み見られる
というときがあるでしょう。

セッションを守るために


もし、Webメールサービスのセッションを守ろうと思うなら、以下のことが必要になるでしょう。
  • ログイン処理か、パスワード再確認時にWebメールサービス用の専用のセキュアなCookie(証明書,Credential)を作成する。
  • 通信はHTTPS化する

感想


セッションが盗まれるという心配は、あまり感じていません。
セキュアなことはいいことですが、スピードを下げるのもいやだなぁ、ということです。

スポンサーリンク
スポンサーリンク
 
いつもシェア、ありがとうございます!


もっと情報を探しませんか?

関連記事

最近の記事

人気のページ

スポンサーリンク
 

過去ログ

2020 : 01 02 03 04 05 06 07 08 09 10 11 12
2019 : 01 02 03 04 05 06 07 08 09 10 11 12
2018 : 01 02 03 04 05 06 07 08 09 10 11 12
2017 : 01 02 03 04 05 06 07 08 09 10 11 12
2016 : 01 02 03 04 05 06 07 08 09 10 11 12
2015 : 01 02 03 04 05 06 07 08 09 10 11 12
2014 : 01 02 03 04 05 06 07 08 09 10 11 12
2013 : 01 02 03 04 05 06 07 08 09 10 11 12
2012 : 01 02 03 04 05 06 07 08 09 10 11 12
2011 : 01 02 03 04 05 06 07 08 09 10 11 12
2010 : 01 02 03 04 05 06 07 08 09 10 11 12
2009 : 01 02 03 04 05 06 07 08 09 10 11 12
2008 : 01 02 03 04 05 06 07 08 09 10 11 12
2007 : 01 02 03 04 05 06 07 08 09 10 11 12
2006 : 01 02 03 04 05 06 07 08 09 10 11 12
2005 : 01 02 03 04 05 06 07 08 09 10 11 12
2004 : 01 02 03 04 05 06 07 08 09 10 11 12
2003 : 01 02 03 04 05 06 07 08 09 10 11 12

サイト

Vim入門

C言語入門

C++入門

JavaScript/Node.js入門

Python入門

FreeBSD入門

Ubuntu入門

セキュリティ入門

パソコン自作入門

ブログ

トップ


プライバシーポリシー