楽天市場などのネットショップで商品の注文フォーム送信時にSSLを採用しているものがありますよね。
たしかにSSLを使えば送信時には情報が保護されるのでしょうけれど、
そのすぐあとで、注文内容をまとめた自動送信メールが送られてきたりします。
クレジットカード情報こそ含まれないものの、メールには住所や名前、注文した商品がバッチリ記載されています。
このメールが盗聴(盗読)されるカモ、という危険性は考えなくて良いのでしょうか?
http://www.hatena.ne.jp/1095801124
素朴な疑問です。 楽天市場などのネットショップで商品の注文フォーム送信時にSSLを採用しているものがありますよね。 たしかにSSLを使えば送信時には情報が保護されるので.. - 人力検索はてな
推測なので、ポイントは要りません。
SSLで暗号化されているのは、あくまでカードの情報だけと思います。この暗号化と認証についてはかなりすすんでいるようです。
他の商品の内容とか、住所・氏名は基本的に盗聴可能ではないでしょうか(暗号化が困難ということもあって)。
そんなこともあって、振込先を記載したメールが返信されたときには、その返信からは振込先を特定する情報は削除して再送信するように、私はしています。
URLはダミー
可能性は否定できません。
そのため、カード番号は記載しないのです。
「住所や名前、注文した商品がバッチリ記載」の内容すら確認できないと、ネットショップは確認が取れず商売にならないと思います。
もしその程度のリスクも問題になるのであれば利用されない方がいいとおもいます。
ご回答ありがとうございます。
>「住所や名前、注文した商品がバッチリ記載」の内容すら確認できないと、ネットショップは確認が取れず商売にならないと思います。
まったくです。
実は私は運営する側の人間なのですが、注文時の
フォームだけ保護されていてメールで送り返していて
いいものだろうか、とふと疑問に思ったのでした。
http://www.infovlad.net/underground/asia/japan/dossier/echelon/
HackJaponaise2001/Dossier/Echelon
エシュロンなどのことを考えると、ネットでの情報は漏れていると考えた方がいいと思います。
とくに、メールはテキストデータが流れているわけですから、盗まれる可能性は十分ありますよね。
ただ、最近では送信先からメールサーバ、メールサーバから受信元へのデータを暗号化する取り組みはされています。
「POP/SMTP over SSL/TLS」というサービスです。これをAPOP認証すれば、メールのパスワードも保たれますので、安全度は増します。ただ、メール送信側(ネットショップ)が送信する際に、「SMTP over SSL/TLS」で送ってもらわないと、メール送信側から、受信するメールサーバまでの情報は漏れることになります。
http://www.asahi-net.or.jp/guide/0600.htm
asahi-net: 設定ガイド: 電子メールソフトの設定 [標準設定] 設定の前に
解説があります。
http://pcweb.mycom.co.jp/news/2003/12/02/18.html
ぷらら、SSL利用のメール暗号化など、メールセキュリティサービス開始 | ネット | マイコミジャーナル
ここにも解説があります。
丁寧な解説をありがとうございます。
色々と新しい試みもなされているのですね。
ご紹介頂いたサイトも参考にさせて頂きますm(_ _)m
http://www.e-shopsolutions.com/ssl.html
SSL、SSLPGPによるレンタルショッピングカート
お考えの通り、危険です。
自慢げに「SSL使ってるからばっちりです!」という自己満足的サイトが大半なのが何とも不愉快。。。
返送メールに PGP も使って欲しいですね。
こういうショッピング・カートもあるのですか。
こうした仕組みが他レンタルカートにも定着してくれると良いですよね。
http://internet.watch.impress.co.jp/cda/news/2004/03/01/2265.htm...
BIGLOBE、メールを暗号化する「メール盗聴防止機能」を提供開始
メールの盗聴については危険性が
話題になっており、プロバイダーに
よってはこのようなサービスを提供
しているところもあります。
こういうメール盗聴ソフトがあったようですが、今ではDLできないようになっています。
最近は、スパムメールの監視ソフトを
悪用することによって、メール盗聴が
できてしまうという問題も指摘されています。
やっぱり自己防衛なのかなぁと思います。
ご回答ありがとうございます。
自己防衛も本当に大切ですね。
ネット上の技術自体がまだ発展途上のようなところがあるので、
これからに期待するしかないかな、とも思いますが……
個人的には、PGPなどの暗号メールの仕組みが、
一般標準としてもっと普及しても良いような気がしています。
知識のないユーザーが普通にメールを送っても
暗号化されてる、という感じで。
現状では技術的に難しい面があるのかもしれませんけれど(^^;
http://www.atmarkit.co.jp/fsecurity/special/04smime/smime01.html
S/MIMEでセキュアな電子メール環境をつくる!
勉強中の情報セキュリティアドミニストレイターでは
PGPよりS/MIMEの方が紹介されています(笑い)
この手のことは、暗号化の事を知らない大多数のユーザーに対して
啓蒙するよりソフト側がデフォルトで暗号化して
送信する様にならない限りは難しいと思います。
できる手段としては注文の際の備考欄に
メールに住所等の情報を乗せないで欲しいと
連絡してきちんと対応してくれる所を
こちら側で選んでいく、といった方法が
一番有効かもしれません
ご回答ありがとうございます。
本当に、ソフトの方で対応してくれるのが一番ですよねぇ。
http://www.itmedia.co.jp/enterprise/articles/0409/16/news009.htm...
ITmedia エンタープライズ:Firefox、Mozillaブラウザに深刻な脆弱性
メールに暗号化機能が備わっているのはそのためです
盗聴する可能性があるので、こういったオンラインショップでの返信メールにクレジットカード情報を載せる場合、大手の場合、下4桁を伏字にするなどの対策が採られているわけです
住所や氏名よりクレジットカード情報やパスワードが漏れることのほうが深刻ですからね
登録時の情報としてパスワードを記載しないサイトが多いのもその対策の一環です
たとえば、パスワードを紛失した際、メールで再発行するのではなく、ホームページ上で、新しいパスワードを入力させ、メールで確認用のWebページを送信して、そこをクリックして初めてパスワードを再設定する仕組みになっているサイトもあります
ご回答ありがとうございます。
そういえば、クッキーを悪用したなりすましで個人情報が表示できてしまうセキュリティ・ホールもありましたね。
開発者の方々も色々大変だと思います(--;
http://www.hatena.ne.jp/1095801124#
素朴な疑問です。 楽天市場などのネットショップで商品の注文フォーム送信時にSSLを採用しているものがありますよね。 たしかにSSLを使えば送信時には情報が保護されるので.. - 人力検索はてな
あとあとのクレーム対応のために、店側も客側も注文の証拠としてもメールはつかえるので、
私は逆にある程度の情報がのっているのは仕方ないかな、とおもいます
ある程度の情報とは、注文者や送付先、購入商品、金額、注文番号などです
ご回答ありがとうございます。
そうですね、実際のところ「オンラインショップ」をスムーズに運用しようとしたら、
メールで情報をやり取りするのが一番でしょうし…
アカウントを開いて受発注情報を全てWeb上で管理するような仕組みも便利ですが、
定着するまでには時間がかかるでしょうね。
URLはダミーです。
メールはそれ自体に暗号化をかけない限り盗聴される可能性があります。
確認メールに個人情報を記載するのは危険なので、
メールには内容確認ページへのURLだけ記述し、サーバで認証を行わないと確認できない
というのが良いかと思います。
確認が少し手間になりますが、顧客のPC環境に依存しないので、現実的かと思います。
ご回答ありがとうございます。
その仕組みは私も良いなと思います。
ただ、小規模ショップではなかなかそこまで独自に実装するのは難しいでしょうから、
そういった仕組みを備えたレンタルカートなりが
普及してくれると良いなと思います。
それでは、このあたりでしめさせていただきます。
色々なご回答ありがとうございましたm(_ _)m
ご回答ありがとうございます。
なるほど、SSLはクレジットカード情報だけなのですね。
>振込先を特定する情報は削除して
こういう個人的なケアも大切ですね。
ありがとうございました。