とあるPCパーツを購入しようといくつかのオンラインショップを検討したところ、2つの候補が見つかった。どちらのショップもユーザー登録制であり、個人情報の入力が必要だ。片方のサイトの情報入力画面はページ全体がSSLで暗号化されていた。
もう一方のサイトは、フレームで分割されており、このうち、メインページでユーザー登録を行う形になっていた。だが、フレームを用いている以上、表示されているアドレスバーのURLと、実際に登録を行うページのURLは異なる。フレーム内の入力ページはhttpsで暗号化されているのだが、アドレスバーの表示は「http://」であり、ステータスバーにも鍵アイコンは表示されない。
一般ユーザーを対象にしたオンラインショッピングの手引きなどでは、たいてい「重要な情報を入力するときには、URLがhttps://で始まっており、Webブラウザの右下に鍵アイコンが出ていることを確認し、暗号化されていることを確認してから使おう」といった具合に手順が説明されている。
しかしこの場合は、せっかくの暗号化技術が正しく実装されていない。この表示では、ユーザーにとっては不安な上に、フレーム全体がSSLで暗号化されていないため、通信経路の途中で改ざんを受けている可能性も否定できない。つまり、本当に安心できる状態とは言えないのだ。
なおこのサイトには、ユーザーのこうした疑問を払しょくするためか、登録画面の冒頭に「このページはSSLによりセキュリティがかけられております」と記述されていた。だがこれは誤解を招くので、フレーム全体を暗号化するか、ユーザー登録画面を新規ウィンドウで開き、httpsの付いているアドレスバーと鍵アイコンを見せる作りにするべきだろう。
httpsによる暗号化転送を徹底していないためにユーザーの混乱を招く別の例もある。
httpsで暗号化して転送されたhtmlドキュメントが、さらに画像などを必要とする際には、httpsだけでなくhttpでも転送することができる。暗号化していない場合は、サーバ負荷が下がる上、データがWebブラウザのキャッシュに入るので転送負荷も軽減される。
しかしこの場合、Webブラウザの設定によっては下記のような「セキュリティ情報」というタイトルの警告ダイアログが表示される。最近も、とあるオンラインショップサイトで、ロゴ画像データがhttpで転送されるために、セキュリティ警告ダイアログが表示されるケースを見かけた。
このケースでは実害はないかもしれないが、ユーザーがこうしたダイアログを見た場合、どう感じるだろう? 少なくとも筆者ならば、こういった警告ダイアログが出るサイトは避ける。また、何らかの脆弱性が潜んでいて、実際に改ざんされたコンテンツが含まれている可能性だって否定できない。
実際、このような状況でユーザーが「いいえ」を押すと、必要なアイコン類が表示されない可能性がある。一方、「はい」を押すと(すべてがSSL転送でないため)鍵アイコンが表示されず、どちらを選んでも問題がある。
オンラインショップ側が、警告ダイアログは多少は出るものという考えでサイトを設計し、ぞんざいに扱うと、ユーザーまで警告に対して不感症になってしまう可能性もある。これはコワイ。証明書エラーのダイアログにせよ、セキュリティ情報のエラーにせよ、本来その内容をきちんと受け止めて「いいえ」を押すべき警告である。しかし、イソップ童話の狼少年の話ではないが、警告が警告として受け止められないような状況にはなっていないか。
せっかくのセキュリティ技術なのだから、サイト側では適切に実装を行い、不必要なエラーは表示させないようにする(逆に言えば、エラーが出たときには本当に危険なのだとユーザーに受け止めさせる)必要があるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.