co3k · December 10, 2015 08:19
diff --git a/Sat, 29 Dec 2012 23:32:32 +0900 b/Sat, 29 Dec 2012 23:32:32 +0900
 Subject: 「FB良品の会員登録ページは、暗号化処理により保護されたページではない」件について

 FB良品 ご担当者様

 海老原と申します。

 ご質問しつつカジュアルにお伺いさせていただきたく、 Twitter にて、 http://twitter.com/co3k/status/285001286347259905 のツイートを杉山 隆志様 (@TakaFlight) 宛に送信させていただきましたが、リプライが殺到されていることもあってかご返答いただけませんでした。そういったわけで、お伝えしたかったことを以下に問い合わせとして書かせていただきますので、ご一読、ご回答いただければありがたいです。

 ※なお、ご返答は公開させていただく可能性がございます。その際、ご返答の一部あるいはすべてを公開するべきでないか否かについて適切に判断するつもりでおりますが、もし差し支えがある部分があるようでしたら、ご返答の際にその旨お知らせいただければ幸いです。

 ◇◇

 さて、 http://fb-ryohin.jp/contents/information を読ませていただいたところ、以下の記述が気になりました。

 > 一部のお客様からFB良品の会員登録ページは、暗号化処理により保護されたページではない（URLが「http://」となっている）との懸念をいただきましたが、登録ボタン押下後のお客様の情報の送信は、SSL（Secure Socket Layer)を利用した通信により、自動的に暗号化の上行われております。また、ログインボタン押下後の通信及びログイン後に表示される会員情報もSSLにて保護されておりますので安心してご利用ください。（2012.12.18）

 確認させていただきたいのですが、運営者の方々としては「会員登録フォームで送信される情報は SSL 通信で保護されるべき情報である」と判断なさっているということで間違いないでしょうか？

 であれば、やはり入力画面から SSL 通信を使われるのが望ましいかと思います。そうでなければ (つまり現状のように入力画面を非 SSL 通信で提供している形であれば)、

 1. 送信先が改竄されている場合
 2. 投稿直前に動的に送信先を改竄するような JavaScript が埋め込まれている場合
 3. 入力中に入力内容を適宜外部に送信するような JavaScript が埋め込まれている場合

 などに情報が盗まれてしまいます。ですので、現状で利用者が SSL 通信の恩恵を受けるためには、これらの可能性がないことを確認する手間が生じてしまいます。これはとても困難な作業です。私は Web 技術者ですが、そういったチェックを確実におこなえる自信がありません。一般の方にはとても無理でしょう。一方で、フォーム表示画面から SSL で保護していれば、アドレスバーを確認するだけで済みますし確実です。

 たしかに「送信先が改竄されていなければ」 SSL 通信が機能するのでしょう。先述のページにて「ログインボタン押下後の通信及びログイン後に表示される会員情報もSSLにて保護されておりますので安心してご利用ください」といった記述がありますが、これは一応技術的に誤りではありません。

 しかし、改竄の有無を確認するのは極めて困難ですから、その行動を利用者に求めるのはあまり現実的ではないです。そのため、「一部のお客様からFB良品の会員登録ページは、暗号化処理により保護されたページではない（URLが「http://」となっている）との懸念」があがっているのだと考えられます。暗号化通信により保護しなければならないような状況においては、送信後画面だけでなく入力画面も攻撃を受けうることが現実として充分起こりえますので、この懸念はすこぶる妥当であると感じます。

 ということで、以下のいずれかの行動を採ることをお勧めいたします (さらに、番号が若いものを採用されることを強くお勧めいたします)。

 1. 入力画面から SSL を導入する
 2. http://fb-ryohin.jp/contents/information の説明文にて、 SSL 通信の恩恵が受けられるのは送信先を充分に確認したあとであることを強調し、そうしない限りは安心してお使いいただけない状態になることを明確にする
 3. 送信後画面で SSL を使わないようにする (その場合、現在において、住所等の情報を入力するユーザが通常期待するであろう SSL の導入をおこなっていない旨を案内することが理想です)

 冒頭の「会員登録フォームで送信される情報は SSL 通信で保護されるべき情報である」の確認は、 3. の可能性がありうるか否かを検討するためのものとなります。この質問への回答が YES である場合、 3. を選ぶことはできず、 1. もしくは 2. を選ぶことになります。

 もし、「いずれ 1. にする予定だが、諸々の事情で導入が遅れている」等の事情であれば、 2. をまずは選択し、「SSL 通信が充分に導入されていないのでご注意ください」などと記すか、もしくは「入力画面が非 SSL 通信で提供されているために、たとえば Amazon.co.jp 等の一般の通販サイトと違い、充分に送信先を確認した上で送信する必要がある」ことを明記してはいかがでしょう (ただし、後者はとても難しいと思いますし、よい例が思い浮かびませんでした)。

 以上、よろしくお願いします。疑問点等ございましたら遠慮なくお尋ねいただければと思います。
diff --git a/Wed, 9 Jan 2013 12:32:39 +0900 b/Wed, 9 Jan 2013 12:32:39 +0900
 海老原様

 この度は返信が遅くなりまして申し訳ございません。


 ご連絡いただきました内容については、
 対策を検討し随時変更をかけている状況です。

 ご指摘ありがとうございました。

 FB良品 運営担当
 株式会社SIIIS
	Subject: 「FB良品の会員登録ページは、暗号化処理により保護されたページではない」件について

	FB良品ご担当者様

	海老原と申します。

	ご質問しつつカジュアルにお伺いさせていただきたく、 Twitter にて、 http://twitter.com/co3k/status/285001286347259905 のツイートを杉山隆志様 (@TakaFlight) 宛に送信させていただきましたが、リプライが殺到されていることもあってかご返答いただけませんでした。そういったわけで、お伝えしたかったことを以下に問い合わせとして書かせていただきますので、ご一読、ご回答いただければありがたいです。

	※なお、ご返答は公開させていただく可能性がございます。その際、ご返答の一部あるいはすべてを公開するべきでないか否かについて適切に判断するつもりでおりますが、もし差し支えがある部分があるようでしたら、ご返答の際にその旨お知らせいただければ幸いです。

	◇◇

	さて、 http://fb-ryohin.jp/contents/information を読ませていただいたところ、以下の記述が気になりました。

	> 一部のお客様からFB良品の会員登録ページは、暗号化処理により保護されたページではない（URLが「http://」となっている）との懸念をいただきましたが、登録ボタン押下後のお客様の情報の送信は、SSL（Secure Socket Layer)を利用した通信により、自動的に暗号化の上行われております。また、ログインボタン押下後の通信及びログイン後に表示される会員情報もSSLにて保護されておりますので安心してご利用ください。（2012.12.18）

	確認させていただきたいのですが、運営者の方々としては「会員登録フォームで送信される情報は SSL 通信で保護されるべき情報である」と判断なさっているということで間違いないでしょうか？

	であれば、やはり入力画面から SSL 通信を使われるのが望ましいかと思います。そうでなければ (つまり現状のように入力画面を非 SSL 通信で提供している形であれば)、

	1. 送信先が改竄されている場合
	2. 投稿直前に動的に送信先を改竄するような JavaScript が埋め込まれている場合
	3. 入力中に入力内容を適宜外部に送信するような JavaScript が埋め込まれている場合

	などに情報が盗まれてしまいます。ですので、現状で利用者が SSL 通信の恩恵を受けるためには、これらの可能性がないことを確認する手間が生じてしまいます。これはとても困難な作業です。私は Web 技術者ですが、そういったチェックを確実におこなえる自信がありません。一般の方にはとても無理でしょう。一方で、フォーム表示画面から SSL で保護していれば、アドレスバーを確認するだけで済みますし確実です。

	たしかに「送信先が改竄されていなければ」 SSL 通信が機能するのでしょう。先述のページにて「ログインボタン押下後の通信及びログイン後に表示される会員情報もSSLにて保護されておりますので安心してご利用ください」といった記述がありますが、これは一応技術的に誤りではありません。

	しかし、改竄の有無を確認するのは極めて困難ですから、その行動を利用者に求めるのはあまり現実的ではないです。そのため、「一部のお客様からFB良品の会員登録ページは、暗号化処理により保護されたページではない（URLが「http://」となっている）との懸念」があがっているのだと考えられます。暗号化通信により保護しなければならないような状況においては、送信後画面だけでなく入力画面も攻撃を受けうることが現実として充分起こりえますので、この懸念はすこぶる妥当であると感じます。

	ということで、以下のいずれかの行動を採ることをお勧めいたします (さらに、番号が若いものを採用されることを強くお勧めいたします)。

	1. 入力画面から SSL を導入する
	2. http://fb-ryohin.jp/contents/information の説明文にて、 SSL 通信の恩恵が受けられるのは送信先を充分に確認したあとであることを強調し、そうしない限りは安心してお使いいただけない状態になることを明確にする
	3. 送信後画面で SSL を使わないようにする (その場合、現在において、住所等の情報を入力するユーザが通常期待するであろう SSL の導入をおこなっていない旨を案内することが理想です)

	冒頭の「会員登録フォームで送信される情報は SSL 通信で保護されるべき情報である」の確認は、 3. の可能性がありうるか否かを検討するためのものとなります。この質問への回答が YES である場合、 3. を選ぶことはできず、 1. もしくは 2. を選ぶことになります。

	もし、「いずれ 1. にする予定だが、諸々の事情で導入が遅れている」等の事情であれば、 2. をまずは選択し、「SSL 通信が充分に導入されていないのでご注意ください」などと記すか、もしくは「入力画面が非 SSL 通信で提供されているために、たとえば Amazon.co.jp 等の一般の通販サイトと違い、充分に送信先を確認した上で送信する必要がある」ことを明記してはいかがでしょう (ただし、後者はとても難しいと思いますし、よい例が思い浮かびませんでした)。

	以上、よろしくお願いします。疑問点等ございましたら遠慮なくお尋ねいただければと思います。
	海老原様

	この度は返信が遅くなりまして申し訳ございません。


	ご連絡いただきました内容については、
	対策を検討し随時変更をかけている状況です。

	ご指摘ありがとうございました。

	FB良品運営担当
	株式会社SIIIS