SSLはログイン前に？

Webサイトを暗号化するための技術であるSSLページでは、「http://」ではなく、「https://」からはじまりますよね。

オンラインバンクや、会員専用のページなど、ID/パスワードを入力させるようなサイトでは、SSLが使われているのが当然になってきましたね。

でも、一部のサイトでは、このSSLを利用するタイミングが不適切な例がまだあるみたいです。

例えば、ID/パスワードを入力する画面。

入力画面が「http://」と非SSLのページになっていることが、クレジットカード会社のページなど、少し前までは多々あったみたいですね。

こういう「http://」から始まるページでも、ID/パスワードを入力された後にはちゃんと「https://」のSSLページに飛ぶようになっています。

だから、Webサイト管理者は、ログイン後はSSLで暗号化されているから安全ですよ、と主張するわけです。

でも、ID/パスワードが入力されている入り口ページがSSLでなければ、そのページが本物かどうかも判断できないですよね？

とすると、ID/パスワードを入力した後にSSLページに飛ぶだろうと予想しても、もしかするとその入り口ページ自体がフィッシング詐欺のサイトかもしれないわけです。

ID/パスワードを入力した後に気付いても、時既に遅し、という結果になってしまいます。

最近構築されるWebサイトでは、入り口のページからSSLのページになっているところが多いようですが、昔からのWebサイトでは未だに、入り口はSSLでないところもあるみたいです。

これは、フィッシング詐欺などがまだ騒がれていなかった頃に設計したページだったことが、主な原因だと思います。

全てのログインページはSSL化するべきです。

もしそうなっていないページを見つけたら、サイト管理者にクレームを入れても良いと思いますよ。