webサイトのSSL 化の話(一般的なセキュリティの話)
真面目な話をするようなサイトでもないんですが、よく使う専門店のオンラインショップが全然SSL 化されてなくてお問い合わせしてしまった話です(˘ω˘)
ところで、SSL って聞いて普通の人ってわかるんでしょうか?
今でこそweb屋を経て情報セキュリティを仕事にしているので常識ですが、システムとは程遠かった昔の私はわかりませんでした(笑)
ブラウザで検索していて、URL バーの左の方に鍵マークとかが出てるページはSSL 化されてます。
よくいう、「https」になってるサイトですね。
これはユーザがそのサイトとやりとりする通信は暗号化されているので、個人情報とか送信しても盗聴されませんよという意味です。
今はほとんどの通販サイトが、最低限、カートに商品を入れて決済して注文確定するまでの一連の流れくらいはSSL 対応してると思います。
逆に、してないサイトでは絶対にクレジットカードの情報とか個人情報とか入れない方でいいですよ!
…と、ブラウザ自身も最近警告出すようになってますね。
(例えばChrome だと、鍵アイコンが出てないサイトだと「保護されていない通信」って出てる)
ひと昔前のサイトだと、まあクレジットカード情報入力するところくらいはSSL 化するね(˘ω˘)っていうところも多かったですが、最近は専ら常時SSL ですね(サイト全体に適用されてる)
…なんでこんなことを書いているかというと、冒頭に書いた通り、私がとてもそこの商品が好きでどうしてもお買い物したいサイトが全然SSL 化してない状態で、ほんとは使いたくないけどずっと見て見ぬふりをして1年に何度かお買い物をしてたんですね(;^ω^)
ずっと後払いシステムか銀行振り込みにしていて、極力カードは避けてきたんですが、ついにカード払いでしか買えないタイプの商品が出てきたので、くっそ…と思い、1度だけカード使いました…(勝手に使われたりしたら即座にカード停止してやると思って利用履歴は毎日確認する覚悟で)
そうこうしていたら先週、カプコンとかでめちゃくちゃ規模がでかい個人情報流出案件とか出てきて、さすがにもう無視してられないだろ…と思ったため、お問い合わせしてしまいました…。
その結果のお返事をいただいたのですが、要約すると
「SSL 対応できてない自覚はあるけどマンパワーが足りないからまだ着手できてません><」
だそうです(˘ω˘)
んんんんん。
マンパワーっていうか普通にサイト改修の予算がないのでは…?と思ってしまいましたね…。
SSL 化するのって別にプログラム書き直す大規模改修ってわけではないんですよ…。
特に、最近はショッピング関係だとSSL 証明書出してくれるサービスとかよくありますから…まあお金かかるんですけど。
うーんうーん、これどうしたらいいんだ(;^ω^)
今後も引き続き検討します…とご回答にはあるんですが、いや普通ネットショッピングサイトするなら1日メンテナンス閉鎖してでもリリースしないとまずい機能ですよ…(´;ω;`)ウッ…
情報流出してから痛い目見るんだろうか…。
うーん。何故か「注文確定しました」みたいな最後の画面だけSSL 対応してるので、さすがにクレカの情報送信する時の処理くらいはSSL してるよね?と再度問い合わせてみる予定ですが…いいお返事を期待したいです…。
…というわけで、どうしてもネット通販で買いたいものがあっても、間違っても「保護されていない通信」と出たりとか鍵アイコンがURLバーに表示されないサイトでは個人情報等入力しない方がいいですよ(´;ω;`)ウッ…!
という当たり前の注意喚起を改めて喚き散らして、締めくくっておきたいと思います(˘ω˘)
なお、どうでもいいですが、当サイトは(レンタルサーバのサービスのやっすいSSL 証明書とはいえ)常時SSL 対応してます(˘ω˘)エヘン←
安心してコメントとかお問い合わせとか送信してください~(笑)