« ほんとかぁ? → 躍進する Google、Yahoo! との差は9.7% | Main | Webアプリの安全装置は簡単につけられる »

httpsじゃないログイン画面でもセキュリティを保つ方法はあることはある

Webサイトのセキュリティに関するまとめ的な話がまたにわかに多くなってきた (この業界だけだとは思うが)。 筆者的には以下の記事が手っ取り早くまとまってると思う。

セキュリティレベルの高いサイトを構築する 19 カ条 :: Drk7jp

ところで、ふつうのhttp:// な画面でユーザーIDやパスワードを入力させるのは必ずしもけしからんのかというとそうでもない。 たとえば、Yahoo!などのログイン画面では、チャレンジレスポンス認証が実装されている(Yahoo!のログイン画面のソースを見てみましょう)。 技術的な詳細は省くが、これによって、SSL使ってない画面であってもパスワードが平文のままでネットワーク上を流れてしまうことはとりあえず防げている。

もちろん、データの暗号化だけでなくなりすまし防止の意味でSSLを使うべきだとかなんだとかいろいろ議論は尽きないのだが眠いのでこのへんで。

2005年12月 4日 Comments [1] | Trackbacks [1]

トラックバックURL

このエントリーのトラックバックURL:
http://www.ywcafe.net/mt/mt-tb.cgi/507

トラックバック

» Yahoo!などのログイン画面では、チャレンジレスポンス認証が実装? from hsato 2.0
httpsじゃないログイン画面でもセキュリティを保つ方法はあることはある Yahoo!で、公衆無線LAN環境で間違えて、SSL無しでアクセスして、その度に「し... 続きを読む

Tracked on 2005年12月 4日 22:42

コメント

こんにちは。いつも興味深く拝見させていただいています。
この記事について質問なのですが、Yahooのログイン画面のソースを見ると、チャレンジレスポンス認証はJavaScriptを使って実装されているみたいですが、JavaScriptをOFFにしてもうまくログインできます。
これって、どういう仕組みになっているのでしょう?
どなたか、、、割愛された部分を解説していただければ幸いです
m(_ _)m

Posted by 某Yahooユーザー at 2005年12月 9日

コメントする

(初めてのコメントの時は、コメントが表示されるためにこのブログのオーナーの承認が必要になることがあります。承認されるまでコメントは表示されませんのでしばらくお待ちください)


画像の中に見える文字を入力してください。