SSLで保護されていないページにログインフォームが存在するサイトについて

投稿者: Anonymous

SSLで保護されたログインページはあるものの、保護されていないトップページなどにもログインフォームが存在するサイトをたまに見かけます。

このような状態だとフォーム内容のPOSTリクエスト自体はSSLで保護されていますが、ログインフォームそのものが改竄されたページに誘導された場合に、入力した情報が盗まれる可能性があると思います。(いわゆるフィッシング)

ある程度規模の大きなサイトでも例があるので何か理由があるのではないかと思っていたのですが、 これはセキュリティリスクがそこまで高くないということなのか、あるいはSSLにするデメリットが大きいのでしょうか。

解決

OWASPというWebアプリケーションのセキュリティに関するガイドラインを公開している団体があります。その指針によれば

The login page and all subsequent authenticated pages must be
exclusively accessed over TLS. The initial login page, referred to as
the “login landing page”, must be served over TLS. Failure to utilize
TLS for the login landing page allows an attacker to modify the login
form action, causing the user’s credentials to be posted to an
arbitrary location.

Transport Layer Protection Cheat Sheet – OWASP

と書かれてあり、要するにログインページがhttpのままではHiroshi Yamamotoさんの仰っているようにログインフォームが書き換えられている場合の検証ができません。

また、ネットワーク経路が汚染されている場合も危険です。例えば公衆WiFiを利用していて管理者が悪意を持っている場合に、入力した情報は筒抜けになります。この部分についてはFiddlerを用いたキーロガーのシミュレーションをやっている以下の記事が個人的には参考になりました。

Troy Hunt: Your login form posts to HTTPS, but you blew it when you loaded it over HTTP

なぜこうしたWebサイトがちまたに存在するかについては私の立場では完全に憶測になりますので、他の方の回答に委ねます。

が、基本的にはセキュリティリスクが高くないとは言えない気がしますし、新規に作成するWebサイトであればこうした抜け穴を作ることがSSLのデメリットを上回るとは思えません。
(既にあるWebサイトでは、修正費用がかかることもデメリットの1つかと考えます。)

回答者: Anonymous

Leave a Reply

Your email address will not be published. Required fields are marked *