暗号化されていないパスワードフォーム

medium Web App Scanning プラグイン ID 98082

Language:

概要

暗号化されていないパスワードフォーム

説明

HTTP プロトコル自体はクリアテキストであるため、HTTP を介して送信されるデータをキャプチャし、コンテンツを表示できます。

データをプライベートに保ち、傍受されないようにするために、HTTP は Secure Sockets Layer (SSL) または Transport Layer Security (TLS) を介してトンネル化されることがよくあります。これらの暗号化標準のいずれかが使用される場合、HTTPS と呼ばれます。

サイバー犯罪者は、HTTP を使用してクライアントからサーバーに渡される認証情報を侵害しようとすることがよくあります。これは、さまざまな異なる中間者攻撃 (MiTM) 攻撃またはネットワークパケットキャプチャを介して実行できます。

スキャナーは、影響を受けるページに「パスワード」入力が含まれているものの、フィールドの値が HTTPS を利用するサーバーに送信されないことを検出しました。したがって、送信された認証情報が漏洩する可能性があります。

ソリューション

影響を受けるサイトは、最新の最も安全な暗号化プロトコルを使用して保護する必要があります。これには、SSL バージョン 3.0 および TLS バージョン 1.2 が含まれます。TLS 1.2 は最新かつ最も推奨されるプロトコルですが、すべてのブラウザがこの暗号化方法をサポートするわけではありません。したがって、より一般的な SSL が含まれています。SSL バージョン 2 などの古いプロトコルや脆弱な暗号 (128 ビット未満) も無効にする必要があります。