日々忙しく仕事に励んでおりますが、お休みの日にはゲームしたり本読んだりとやりたいことやってストレス解消しています。

その他にも最近では、仕事に役立つスキルや知識を得ようとIT系のサイトなどをサーフィンしていたりします。

システムエンジニアに技術の向上は欠かせませんからね。
(とは言っても興味のなさそうなタイトルばかり並んでいたらすぐにゲームに切り替えてしまうのですけれども…。)

つい先日こんな記事を見つけました。

現在セキュリティの厳しい案件に従事していることもあってか、タイトルを見た瞬間に「まじか」と思いました。

HTTP通信とは

上記記事で取り上げられている「HTTPS」に触れる前に、「HTTP」に関して触れておこうと思います。

「Sがつくだけでそんなに変わるもんなの?」

と思うかもしれませんが、社会問題になるレベルで大きく変わります。

いつものごとく、一部外部リンクに頼ります。

「HTTP」とはネットワーク上で行われる通信のプロトコル(ルール)になります。

どうしてルールが必要かと言うと、通信を行う「機器(主にPC)」は人間のようにデータを機械的に判断することが出来ません。

人間であれば知識や知恵などから、文脈を読んで「よきにはからう」ことが出来ますが、「機器」は受け取ったデータをあるルールに則って判断することになります。

ルールの中身としては、

  • 〇行目から〇行目までが 通信元 を表しているよ。
  • 〇行目から〇行目までが データ を表しているよ。

と言った、「説明書の目次」的なものをイメージするとよいかもしれません。

余談

エンジニア的な観点であれば「ポート番号:80(HTTPSの場合は443)」を使用する「TCP/IP通信」と覚えておくと環境設定などで役立つでしょう。

SSL/TLS

続いて「SSL/TLS」についても少しふれておきます。

「HTTPSと何の関係があるの?」

と思われるかもしれませんが、「HTTPS」の「S」は「SSL」の「S」と一致します。

この「S」は「Secure(保護された、安全な)」を意味しており、「Secure」な「HTTP」が「HTTPS」になります。

いつものごとく…

これだけ詳しくわかりやすく解説されると私見の入る余地がありません(笑)

何が「Secure」かと言うと、「HTTP」において送受信するデータを「HTTPS」では暗号化して送受信します。

暗号化することで何が守られるのか、想像がつくかと思われますが次に譲ります。

非HTTPSにおける脅威

まずはおさらいから。

  • HTTP:ネットワーク上で通信を行う時のプロトコル(ルール)
  • HTTPS:暗号化された「HTTP」

インターネット上でショッピングを行う際、(例えば楽天市場とかAmazonとか)決済方法としてクレジットカードがあります。

クレジットカード決済を行うためには、カード番号や暗証番号、セキュリティコードなどが必要になります。

それらの入力内容を登録する際に、データ(入力内容)の送受信が発生します。

すなわち、「他人に悪用されたらマズい情報」をインターネット上でやり取りしているわけです。

それらのデータが暗号化されていない場合、悪意ある第三者の手によって「盗聴」され、悪用される恐れがあります。

上記の政治家Webサイトで言えば、メールフォームに入力したメールアドレスなどでしょうか。

決済関連の入力が無く、メールアドレス程度であればまだ迷惑メールがバンバン飛んでくるくらいで済みますが、それでも重大な欠陥に変わりはありません。

まとめ

まとめ
  • HTTPとは、ネットワーク上でデータを送受信するときのルールのこと。
  • HTTPSとは、SSL/TLSによって暗号化されたHTTP通信のこと。
  • 非HTTPSでは個人情報を抜き取られる可能性がある。

 

ちなみに当サイトはいつの間にかHTTPS有効になっていました。
多分、初回環境構築時に入れたんでしょうね。

以上です。

スポンサーリンク