Webサイト常時SSL化のススメ － ＠IT

2012/03/28 ログインや入力フォームなどが含まれないページも含め、Webサイト全体のSSL化を検討してほしい――日本ベリサインは3月28日、常時SSL（Always-on SSL）に関する説明会を開催した。 米シマンテック シマンテックトラストサービシズ プロダクトマーケティング シニアディレクターのロブ・グリックマン氏は、「Webサイトのセキュリティはクリティカルな問題になっている」と述べ、主に2つの攻撃シナリオがあると説明した。 1つは、正規のWebサイトが攻撃者に乗っ取られて、アクセスしてきたユーザーにマルウェアを仕込んでしまうケース。もう1つは、通信経路で盗聴した情報によるなりすまし（セッションハイジャック）だ。 特に後者の問題に対する「簡単かつコスト効率に優れた解決策が、常時SSLだ」（グリックマン氏）という。すでに、FacebookやTwitter、Google、Pay

[MinazukiBakera]

いや、「常時SSL化」はCookieのsecure属性忘れへの対応にはなりません。

[nihen]

えーマジCookieのSecure属性オフ!!Secure属性オフが許されるのは小学生までだよねー！

[kana321]

ベリサインがセッションハイジャック対策として推奨

[you21979]

セッションハイジャック

[attoku]

セキュアクッキー使えばいいという話もあり

[ockeghem]

これはアプリの脆弱性だから常時SSLを勧める理由としてはどうかな

[hidehish]

見てる:

[jetta_swingin]

Webサイト常時SSL化のススメ Sent from Pocket.

[rytich]

ネタ認定されてる

[mokyu115]

個人的にタイムリーな記事

[JULY]

確かに、Cookie に Secure 属性をつけるために SSL/TLS 化、というのはありだよなぁ。

[ftnk]

[http://www.delicious.com/ftnk/]NewsInsight…

[NOV1975]

そりゃドメイン単位でサーバー証明書を売る商売の人はそう言いますわな。ネットバンキングみたいにコンテンツそのものに機密性を要求されるものは昔からそうだし、それ以外で暗号化の需要はない。ハッキングは別問題

[dbfireball]

サイトを作る時は常時のほうがリンクを「http」「https」で切り替える必要がなくなるので楽ではある。

[pmakino]

CPU能力については確かにそうかもしれないけど、レイテンシが良くない3G回線で利用する機会が増えている身としては寧ろ昔より気になるんだけど>「「処理が重くなる」のは昔の問題」

[tmatsuu]

HSTS（HTTP Strict Transport Security）って知らなかった。HTTPSを強制する仕組みらしい。

[moro]

201x年ならインフラコストは上がらんとのことだけど、いま前線にいるインフラ屋さん的にはどうなんですかね。AjaxのSOP絡みでも面倒なバグりかたをしたりするので、アプリ屋としては全SSLのほうがありがたい。

[AJYA]

セッションハイジャック対策には、常時SSLがいいのか。覚えておいて、次に案件があったら提案しなくては。

[else]

Webサイト常時SSL化のススメ|

[deep_one]

記事中にもあるが、本来はセキュアクッキーとかで対応する話なんだよね…。常時SSL化しているサイト（Facebook、Twitter、Google、PayPal）のほとんどはコンテンツもSSLかけたいものばかり。

[hanageman]

中間者攻撃の話にほぼ終始してるのでクライアントサイドで完結するハイジャック例もセットで理解したうえで導入してもらわないといけない気がする

[and_hyphen]

常時SSL化はCookie盗聴によるなりすましのリスクに対処できる。昔は処理重くなったが今はそんなことはない。