つい最近、ひょんなことから自分が作成しているホームページが閲覧者の安全を脅かしていないか、ホームページの安全対策については考えたことも知識も無かったので心配になって、WEBサイトの安全対策について調べてみた。
いろいろ調べた結果、見ているWEBページが安全かそうでないか簡単に見極められる方法があることが分かったので忘れぬ内に記録しておくことにした。
1 https://で始まるサイトでアドレスバーの何処かに鍵マークがあれば個人情報が端末とサーバー間で暗号化され、サイトの身元もはっきりしていることが保証されている。
2 https://で始まるサイトでアドレスバーの鍵マークやサイトの名前が緑色の表示、またはアドレスバー自体が緑で塗りつぶされているサイトは、暗号化やサイトの身元がより詳細に検証され保障されている。
3 一般的なhttp://で始まる最後にsが付かないサイトは暗号化未対応なのでアドレスバーの何処にも鍵マークは無く、外部から容易に盗み見出来るし、サイトの身元も保障されてはいない。
只し、注意すべきは、https://で始まる暗号化サイトでパスワード等を入力する項目があるにもかかわらず、アドレスバーに「セキュリティーで保護されてない」と表示されている暗号化が欠落したシステム欠陥のサイトも見かけること。
このようにhttps://で始まるサイトであってもよくよく確認する必要がありそうだ。
以下はその具体例。著名な銀行や通販サイトはさすがにしっかり安全対策が施されている。
Microsoft Edgeでは全体の暗号化に対応したhttps;//で始まるサイトは錠マークとサイト名が緑の文字で表示される。
Internet Explorerではアドレスバーが緑の塗り潰しで、鍵マークは右端にある。
こちらのhttps;//で始まるサイトは、Microsoft Edgeで見ると暗号化対応の鍵マークがあり、緑ではないので身元保証ランクは銀行サイトより厳重ではないようだ。
Internet Explorerでは鍵マークが右端に表示される。一方、吾輩のホームページはもちろんSSL暗号化未対応サイト
http://で始まるこのサイトは、Microsoft Edgeで見ても暗号化対応の鍵マークが無い。アドレスの先頭にあるマークをクリックすると
暗号化されていないのでこのような注意書きがポップアップで表示される。
Internet Explorerではhttp://で始まるサイトは何処にも鍵マークが無いし、注意マークも表示されないので、素性の知れないhttp://で始まるサイトでは個人情報を入力する要求には応じないにこしたことはない。吾輩のホームページには個人情報やパスワードを入力する必要は何処にも無いので閲覧者に迷惑をかける可能性は低いと思うのだが、盗み見や侵入が容易なだけにページを改ざんされ悪用される心配はあるようだ。
従来、SSL対応の認証を得るには高額の費用が掛かったので個人のサイトに導入するのは容易でなかったが、最近は無料でも対応可能なシステムがあるらしい。
とは言っても今使わせてもらっているサーバーにはSSL暗号化機能が無いし、今更SSL対応のサーバーに引っ越すのも容易でないので当面静観するするつもりだ。
スマホでネットサーフィンする場合も、鍵マークと緑のサイト表示があれは暗号化と身元保証がされていてとりあえず安全と判断できそうだ。
