HTTP(Hypertext Transfer Protocol)の脆弱性について述べる。
【脆弱性1】
送受診データが平文でネットワークを流れる。
●脆弱性によって想定されるリスク
⇒パケット盗聴による情報漏洩。
●対策案
・HTTP over TLS(HTTPS:443/TCP)を使用
【脆弱性2】
ベーシック認証において、ほぼ平文(BASE64エンコード)で認証情報がネットワークを流れる。
●脆弱性によって想定されるリスク
⇒パケット盗聴による認証情報の漏洩。
●対策案
・フォームを用いた認証+TLS(HTTPS:443/TCP)を使用
・ダイジェスト認証を使用
【脆弱性3】
プロトコルにはセッション管理の仕組みがないため、アプリケーション側で行う必要がある。
●脆弱性によって想定されるリスク
⇒セッション管理機能の脆弱性による認証情報の漏洩、セッションハイジャックによるなりすまし。
●対策案
・アプリケーションの仕様、クライアント環境などに応じた適切なセッション管理機能の実装。