6.1 適切なプロトコルの選定
前のページへ
次のページへ

6.1.2 適切なプロトコルの選定

HTTP通信のセキュリティ脅威への対策の1つは、暗号化された通信プロトコルを使用した通信を実施することである。通信を暗号化することで、第三者が通信を覗き見ることができたとしても、データは暗号化されているので、通信内容を秘匿することが可能になる。この暗号化を実現するには、一般にSSL(Secure Sockets Layer)と呼ばれるセキュリティプロトコル技術を利用することが多い。SSLによる暗号化は、トランスポート層とアプリケーション層の間で実装されるので、HTTPに限らず、他のサービスにも適用できる。

SSL技術で暗号化されたデータのやり取りは、HTTPに暗号化プロトコルを付加したHTTPS(HTTP Security)で実施される。HTTPS通信は通常TCPの443番ポートで行われるので、リクエストURLも以下のように変更される。

   http://www.ipa.go.jp/  <- 通常のWWWブラウジング(HTTP/80番ポート)
    ↓
   https://www.ipa.go.jp/ <- 暗号化されたWWWブラウジング(HTTPS/443番ポート)

HTTPとHTTPS切り替えのタイミングは、保護情報の通信が開始されるときである。広く認知されている電子商取引サイトでは、ユーザのアカウントID/パスワードを入力するコンテンツの通信からHTTPS通信が開始され、機密データを取り扱う間はHTTPSで通信を実施している。多くの電子商取引サイトでは、パスワード入力画面からショッピングの決済終了までの通信をすべて暗号化して、情報の保護を実施している。

セキュアなWWWサービスを提供する場合、WebサーバーとWebブラウザ(クライアント)間の通信で、暗号化による情報の保護が必要か否かを見極める必要がある。通常、パスワード情報や機密情報などがWeb上でやり取りされる場合には、暗号化する必要がある。

 

前のページへ
目次へ
次のページへ
HTTPプロトコル
第6章の目次
ユーザ認証


Copyright ©   2002 Information-technology Promotion Agency, Japan.  All rights  reserved.