 |
||||||||||||
|
||||||||||||
|
前のページ 1 2 3 |
||||||||||||
|
||||||||||||
| Webサーバの電子証明書を取得し、サイト運営主体の実在性の証明をする | ||||||||||||
|
これは、Webサイトにアクセスした利用者に対し、そのWebサイトが本物であることを確認する手段を提供する方法です。 運営するWebサイトが本物であることを証明するために、Webサーバ向けの電子証明書を取得し、実在証明を行ってください。電子証明書は、第三者である認証局に発行を依頼します。 なお、発行を依頼する認証局には、Webブラウザの多くに登録されているルート証明機関や、ルート証明機関の認証を受けた中間証明機関を選択してください。
参考URL
PKI関連技術解説「認証局と電子証明書」 http://www.ipa.go.jp/security/pki/031.html |
||||||||||||
| WebページのURL情報を表示する | ||||||||||||
|
これは、Webサイトにアクセスした利用者に対し、そのWebサイトが本物であることを確認する手段を提供する方法です。 URLを表示していないWebサイトを訪れた利用者は、そのWebサイトが本物か偽のものかを一目で確認することができません。アドレスバーやステータスバーを隠さず、URLを表示してください。 |
||||||||||||
| フレームを利用する場合、子フレームのURLを外部パラメータから生成しないように実装する | ||||||||||||
|
これは、Webサイト自身がフィッシング詐欺に悪用されることを回避する実装です。 フレームを利用しているWebページで、子フレームのURLを外部パラメータから生成する実装は、フィッシング詐欺に悪用される危険性があります。 そのパラメータに任意のURLを指定したリンクを仕掛けられた場合、そのリンクをアクセスした利用者は、本物サイトの親フレーム内に、偽サイトのWebページを子フレームとして埋め込まれた画面を閲覧することになります。表示上のドメインは本物であるため、利用者が子フレームを偽サイトと見分けることは困難です。 |
||||||||||||
| おわりに | ||||||||||||
|
本連載で取り上げたWebアプリケーションのセキュリティ実装(開発者向け)やWebサイトの安全性向上のための取り組み(管理者向け)により、Webサイト運営上の脅威の低減が期待できます。 また、組織内部でセキュリティ対策の確認、実施を行った上で、外部組織によるペネトレーションテストやWebアプリケーションのコードチェックなどの監査を受けることは、セキュリティ上、より効果的です。Webサイトの重要度に応じて、監査を受けることをお勧めします。 本連載が、Webサイトのセキュリティ問題を解決する一助となれば幸いです。 |
||||||||||||
|
前のページ 1 2 3 |
||||||||||||
|
安全なウェブサイトの作り方 - ウェブアプリケーションのセキュリティ実装とウェブサイトの安全性向上のための取り組み 2006年1月31日にIPAは、ウェブサイト運営者がウェブサイト上で発生しうる問題に対して、適切な対策ができるようにするため、「安全なウェブサイトの作り方」を取りまとめ公開いたしました。 本記事は、その報告書の転載です。詳しい内容に関しましては、以下のURLをご参照ください。 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/documents/2005/website_security.pdf 脆弱性関連情報に関する届出について http://www.ipa.go.jp/security/vuln/report/index.html IPA(独立行政法人情報処理推進機構) http://www.ipa.go.jp/index.html IPA/ISEC(独立行政法人情報処理推進機構セキュリティセンター) http://www.ipa.go.jp/security/index.html |
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
-
-
連載
