前回は、Free Wi-Fiを使うことによる情報漏洩の可能性について取り上げてきました。勘違いがあるといけないのが、Free Wi-Fiを使うことが必ず危険であるということはありません。HTTPSによる通信の暗号化等の対策がされていれば基本的に安心してFree Wi-Fiを利用することができますし、Free Wi-Fiは便利です。ただ、知っておくべき知識はありますので紹介してきました。
今回は、前回取り上げた内容以外の危険性について取り上げていきます。
Web利用において、知っておくべき危険性
私たちがWebを利用する場合、またエンジニアとしてWebアプリケーションを扱っていく場合に、いくつか知っておくべき危険性を紹介します。
httpsのURLに接続したがブラウザの警告が出てしまう
Webサイトにhttpsで接続をしていたとしても、情報が盗み見られる危険性があります。通信内容を除くことができる、MITM(man-in-the-middle)プロキシを使うことによるものです。その際は、ユーザー側としてはブラウザ上での警告が出るため通常は気づくことができるのですが、これを無視して接続をしてしまうと情報の盗聴がされてしまうことがあります。
サイト運営側としては、HSTS(Hypertext Strict Transport Security)を設定する対策が必要で、利用者側としては、ブラウザ上での証明書エラーなどのアラートが出た場合にはアクセスを進めないことが必要です。
スマートフォン等のネイティブアプリを利用した場合の脆弱性
ブラウザからではなくスマートフォンアプリなどを利用する場合には、アプリでの証明書検証がしっかりされていないと、脆弱性を生み出すことになります。
この場合は、サービス提供側は脆弱性診断をして証明書検証を行うことが重要で、利用者側は信頼できるアプリを使うなどの対応を行う必要があります。
CookieのSecure属性が無い場合
Webアプリケーションの脆弱性ですが、CookieのSecure属性が使われていない場合もリスクがあります。Set-Cookieの際に、Secure属性を付けておかないと、平文での通信の際にCookie盗聴がされてしまうというものです。
この場合は、サイト運営側が十分な対応をする必要がありますが、Secure属性をつけること、HSTSを設定することが対応策となります。また、利用者側としては、信頼できるサイトを利用することや盗聴の可能性が少しでもあるFree Wi-Fiの利用を避けることが対策となります。
今回のセキュリティ知識を詳しく知りたい場合は、徳丸本と徳丸試験がおすすめ
セキュリティの問題はサイトやサービス運営側も利用側も必要な知識です。
そんな、Webセキュリティ関連の知識については、徳丸本を学ぶとよいです。得丸本は、Webセキュリティに関する基本知識が網羅されています。セキュリティは正確に体系立てて理解をしていかないと、システムや会社にとって致命的な問題に繋がります。これらの知識を身に着けたエンジニアとして活躍されていく方にはおすすめです。
そして、学んだあとは理解を確認するために徳丸試験でチェックしてみると理解度が可視化されるため、ぜひチャレンジしてみてください。
【徳丸本】
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
【徳丸試験】
