レクチャー macOSのシンソウ

HTTPでアクセスするWEBページは危険?

文●千種菊理

OSの深層部分、知れば知るほど奥深い、macOSの仕組みを解き明かす。

HTTPとHTTPSの違い

インターネットを介してWEBページを見るための通信方法(プロトコル)は、大きく分けて2つあります。WEBという仕組みが始まった当初から存在するプロトコル「HTTP(Hyper-Text Transport Protocol)」と、より安全性の高い通信を実現するプロトコル「HTTPS(Hyper-Text Transfer Protocol Secure)」です。

HTTPSの安全性を担保するポイントは「暗号化」と「認証」。HTTPの通信がすべて「平文」、つまり何も暗号化されていないのに対し、HTTPSでの通信はすべて「SSL」というプロトコルを利用して暗号化されます。

ネットワークを流れているパケット(データのかたまり)を覗き見ると、HTTPの場合、どういうリクエストを送ってどういうWEBページや画像、動画、ファイルを取得しているのかが丸わかりですが、HTTPSだと、どのIPアドレスのホストに通信しているかくらいしかわかりません。

さらに、HTTPSで通信すると、サファリなどではURL欄の左端にどのサイトにアクセスしているかが表示されます(図1)。これはWEBサーバから送られてきたサーバの証明書を検証したうえで、そのサーバが指定したWEBサイトのサーバであることを確認し、その結果を表示しています。これが「(サーバの)認証」です。

常時SSLとは?

これまで、通常のWEBページはHTTPで通信し、パスワードやクレジットカード番号など大事な情報を扱うときには、HTTPSを使うのが一般的でした。

SSLの処理はCPUに負荷がかかります。インターネットの黎明期の2000年前後のサーバでは、多数のクライアントから送られてくる大量のSSLの処理をさばくのは困難でした。そのため「大事なところだけ安全にする」という考えになったわけです。

「常時SSL」は、そうした考え方を改め、HTTPを一切使わずすべてのWEBページをHTTPS化しよう、というセキュリティ手法です。公衆無線LANのように、見知らぬ第三者と同じネットワークを共有する機会が増えている昨今、HTTPを使っていると、ふとしたことからその人のプライバシーが漏れかねません。

HTTPで通信する場合、相手のWEBサーバは認証されていないので、送られてきたHTMLを盗聴されたり、ページを改ざんされ本来とは異なるリンクを踏まされてれてしまう可能性があります。HTTPで通信される情報は漏洩しやすく、信用もしがたいのです。

すべてをHTTPSにしてしまえば、こうした問題は起きません。2000年代に比べ今のサーバの性能やネットの帯域は桁違いに増大しており、今なら常時SSLでもサーバに問題はありません。




続きを読むためにはログインが必要です。
月額720円ですべてのコンテンツの閲覧が可能になります。
下のボタンより、お申込手続きを行ってください。

  • ログイン
  • 会員登録

同カテゴリ記事一覧