ちょっとしたテストで、
適当なローカルなHTTPSのWebサイトにアクセスする必要がありました。
勤怠管理とかグループウェアとかがあるので、
ログイン画面を使えばいいと思ったわけです。
しかしよく見ると…あれ?
最近のブラウザでは当たり前になった、
あのHTTPSのマークが無いような…
って、これただのHTTPじゃないですか!?
ベーシック認証でも、ダイジェスト認証でもない…
<form>を使ったただのPOSTメソッドです。
送信先も、もちろんHTTP。
念のためパケットキャプチャーしましたが、
バッチリパスワードが平文で送信されていました。
う~ん…社内システムとは言え、
これはいいんでしょうか?
最近はスイッチングハブばかりなので、
基本的にはパケットが送信先以外にいくことは無いです。
しかし、リピータハブを間に仕込めばキャプチャーし放題なわけですし…
う~ん、ログイン画面でカッコつけたい気持ちは分かりますが、
素直にダイジェスト認証使った方が良くないですか?
とりあえず自分が使う分には、
平文であることを意識しておくぐらいしかできません。
いいの、かな???
0 件のコメント:
コメントを投稿