web-dev-qa-db-ja.com

外部WebサイトのHTTP登録ページの回避策

登録したいウェブサイトがありますが、それはインターンシップ/求職ウェブサイトであり、登録時にいくつかの[〜# 〜] very [〜#〜]機密データが必要です。

Firefoxの登録時に、サイトがHTTPのみであることを警告していたため、https://のプレフィックスを付けようとしたところ、ページが存在しませんでした。私はサイト管理者に連絡して彼らに尋ねると、彼らは言った:

個人データのセキュリティを保証するために、適切なセキュリティ対策が講じられています。 SSL証明書(GDPRで推奨)については、できるだけ早くこれを提供します。

私はセキュリティについてほとんど知らないので、誰かが言っていることが水を保持しているかどうかを教えてもらえれば、SSL証明書をまだ使用していない安全なサイトになる可能性があります(HTTPのみを使用している場合は考えられないようです)。

ステートメントが水を保持しないで、管理者がそれに同意する場合、データをパッケージ化して安全に送信できる方法があります。代替手段?

3
Scott Anderson

tl/dr:この会社は彼らが何をしているのか全く分かりません。データを保護したい場合、唯一の選択肢はそれらとの取引を拒否することです。

プライバシーとHTTP

最初の質問は、HTTPを介して非公開で通信できるかどうかです。答えは、一般的には「NO!」です。 HTTPはプレーンテキストプロトコルです。つまり、マシンと宛先サーバーの間にあるすべてのサーバーが、HTTPを介して送信されるデータを読み取り、ログに記録し、やりたいことをすべて実行できます。これは理論上の問題ではありません-何十ものサーバーがあり、あなたと目的地を簡単に切り替えることができます。

これで技術的にWebサイトがHTTP経由でデータを送信する前に独自の暗号化を実行して、プライバシーを確​​保することが可能になります。実際には、これが起こっていないことを想定することは安全です。その理由は、これを行うこと(さらに重要なことに、うまく行うこと)が非常に難しいためです。 HTTPS経由でSSL証明書を使用することは、インターネット上でプライバシーを提供するためのはるかに簡単、迅速、かつ安価な方法です。特にとにかく暗号化できないHTTPリクエストの大部分があるので、HTTPSを無視して代わりにHTTP経由で独自の暗号化を試みることは絶対に夢中になります。あなたが試みたとしても、それは私的な解決策ではありません。

HTTPS

繰り返しますが、HTTPSはインターネット上で非公開で通信するための最も簡単で最も効果的な方法です。特に Let's Encrypt の登場以来、andを無料で実装することも非常に簡単です。機密データを収集するWebサイトで、Webサイト運営者がHTTPSをスキップする正当な理由はありません。それは本当にそれと同じくらい簡単です。

会社の対応

それで、この会社はどうですか? HTTPSはありません。 HTTP経由でデータを送信しています。それ以外の方法では暗号化を試みていないこと、そしてたとえ彼らが試みたとしても実際にはうまくいかないことを保証できます。つまり、あなたの個人データがインターネット経由で送信され、誰もが見ることができます。しかし、彼らは言う:

個人データのセキュリティを保証するために適切なセキュリティ対策が提供されています

簡単に言うと、これは完全なB.S.です。これは、セキュリティ対策が適切であると彼らが信じていることを意味します。 HTTPSの欠如は、決定的にそれ以外のことを示しています。彼らは次の行でさらに穴を掘ります:

[SSL証明書]をできるだけ早く提供します。

すでに説明したように、SSL証明書は無料で簡単にインストールできます。 「できるだけ早く」は文字通り4年前に起こりました。これは無能の言い訳にすぎず、データが危険にさらされます。

最後にあなたは尋ねます:

別の方法でデータをパッケージ化して安全に送信する方法はありますか

残念ながら、あなたは間違った質問をしています。データを安全に送信するための何らかの方法を考え出したと想像してください。会社がデータセキュリティの基本で完全に失敗した場合、データを安全かつプライベートな方法で保存および使用することを本当に期待できますか?

あなたが彼らに送るどんな情報も、そこに到達する方法に関係なく、結局は公に漏らされると単純に想定するべきです。たぶんそうなるでしょうから。

次のステップ?

最終的には、どちらを重視するかを決定する必要があります。それらから仕事を得る可能性や、個人データが漏洩する可能性があります。あなただけがその電話をかけることができます。

彼らはGDPRについて言及しているため、GDPRが施行されている地域にいると考えられます。他の主張にもかかわらず、おそらく彼らはGDPRに違反しています。これは、明らかな次のステップが適切な政府機関に苦情を提出することであることを示唆しています。私はアメリカにいるので、それが何を伴うのかわかりません(とにかく法的な問題なので、ここではあまり話題になりません)。いずれにしても、それが必要なタイムスケールで変更が発生する可能性は低いので、変更を使用してデータを危険にさらすか、無視して職務機会を失う危険を冒すかを再度決定する必要があります。

4
Conor Mancone