溢れかえる情報の信頼度

このウェブサイトの内容も含め、「鵜呑みにしない事」はウェブでは大変重要です。
例えそれが大人気のサイトでも、正しいことを書いているとは限りません。

 

自分が全く持っていない知識については判断が難しいですが、最初から話半分に見ておく事が大事です。
大半の情報は検索すれば一発で手に入るので、重要な事はいくつもの情報を合わせて判断しましょう。

専門家っぽく大間違いを書いている例を1つ紹介します。

 

人気ブログでも油断は出来ない

サーバ管理者なのかSEなのか知りませんが、間違ったことを大々的に告知している方もいらっしゃいます。
サーバルーム寒いと言っているので警備員の方かもしれませんが。

人気のブログだったようですが、専門の人に見えて全くそうではないです。
人気ブログでも正しい情報があるとは限らない、正しい知識の無い人がさも正しそうに書いている例として紹介します。

アクセスの多いウェブサイトでは知識の無い人が鵜呑みにしてしまうので厄介です。

参考記事

 

ID/PASSを用いたログインにSSL暗号化が使われてないというデマ

参考のサイトではNexonのウェブサイトに問題があると画像も交えて大きく書かれています。
中でもカンファレンスの応募ページにアクセスする為ログインするページがhttpsでは無いと。

確かにURLを見るとhttp://から始まっており、このページがSSL暗号化されていない事がわかります。

この事だけを見て、「httpsが使われていない!」「ドン引き!」「この程度のセキュリティ意識」などといっていますが、これは間違いです。

 

URLから判ることは、ウェブサイトがいわゆる常時SSL化されていない事だけで、実際にpostするIDやパスワードが暗号化通信されていないことにはなりません。

実際にID/PASSを入力してログインテストしてみたところ、www.nexon.co.jp:443 を経由してCaptcha画面ではちゃんとhttpsになっています。

つまり、ID/PASSの送信はSSL暗号化を用いた通信が行われており、参考記事に書かれていることは全くの間違いです。

 

ホームページがハッキングされるって何?

で?ユーザから箱で搾取するだけ搾取して仮にこのホームページがハッキングされたらどうするわけ?
申し訳ありませんでしたじゃ済まないですよね。オープンマーケットという公式RMT実装しときながら、
ハッキングされてネクソンIDとかの個人情報盗まれちゃった(ゝω・) テヘペロ じゃねーんですよ。

ログイン時にSSL暗号化通信されていない(ちゃんとされてるけど)為に通信内容からIDなどがばれる事と、ウェブサイトが改竄されることによって同じような被害を受けることに大きな関連性は無いです。

ウェブサイトが改竄される事によってID/PASSが盗まれるのであれば、ID/PASSの送信先を自分のサーバにしてしまえば良いだけです。

サーバが手中にあるのであれば、当然データベースに手をつけます。

 

SSL証明書が怪しいかどうか

お世話になってる人が多いだろうネクソンポイントチャージのサイトは暗号化通信方式を採用している。(証明書が怪しいけど)

証明書に怪しいもクソもありません。

 

クラッカーは大手を狙わない?日本では少ない?

ハッカー(クラッカー)というのは大体大手は狙いません。なぜならセキュリティレベルが高いから。
日本ではあまりホームページのハッキングの行為はされませんが、海外は多いですよ。

大手も普通に狙われます。
日本ではあまりウェブサイトの改竄などされないとありますが、CMSを狙ったSQLインジェクション攻撃や、ログインフォームを狙った攻撃などはどこの世界でも日常茶飯事です。

 

結論

Nexonはセキュリティレベルが低いという風潮は以前からありますが、こういった間違いだらけの記事がそういう流れを大きくしていくのは確かです。

実際のところ、重要な箇所には全てSSL暗号化が施されており、これは企業であればトイレ使ったら流す位の常識です。

無論、レベルがすごい高いか?と言われると、多分そうでもないと思いますし、割とヤバめなネタも1つ掴んでいますが、少なくとも企業って警備員さんが心配するほどバカじゃないです。
サーバだって専門の人が管理しているはずですからね。

 

このように、専門家っぽく間違いの多い事を書いてしまう人って必ず居るので、何事も話半分に、重要な事は複数の情報から判断する事が重要です。

もちろんこのサイトに書いてあることも例外ではありません。

 

最終更新:2014/02/17 (初出:2014/02/17)
  1. コメントはまだありません。

  1. トラックバックはまだありません。