セキュリティ対策/ ショッピングカートPCtoMobile(WEBインベンター開発)の設置の仕方を分かりやすく解説!

ショッピングカートのセキュリティ

このページではピクトモバイルのセキュリティについて説明します。難しい点なのですが、一通り理解しておいてください。

セキュリティの様々な面

セキュリティ問題は避けられない!

昔はどこの家でも鍵などかけていませんでした。しかし、今では、鍵をかけていない家はほとんどありません。しかも、鍵もかなり複雑なものになり、二重にも三重にもなっています。そして、泥棒に入られると「鍵をかけなかったのが悪るかった」と言われる時代になりました。
インターネットの世界もまったく同じといえます。ハッキングの手口も年々巧妙になりセキュリティ対策も一層強固なものが求められるようになりました。Windowsのセキュリティホールが見つかったという報告が絶えることはありません。人間が作ったものに完全なものはないからです。しかし、それでも、セキュリティホールや脆弱性に一つ一つ対処していかなければなりません。これは、時間とエネルギーを奪う大変な作業となります。そうした時間があったら、もっと有用な機能の開発に時間を使いたいのですがそうも行きません。それどころか、セキュリティそのものが一つの商品にさえなっているのですから。
そして、ショッピングサイトの場合、安全性をアピールすることは売り上げにもつながってきますから、十分に心して取り掛かりたいと思います。お店の管理者もセキュリティに注意を払う必要があります。プログラムは使い方によっても脆弱なもの(人為的な脆弱性)になるからです。では、セキュリティ問題に一緒に取り組みましょう。

ピクトモバイルのセキュリティ対策!

ピクトモバイルのセキュリティ対策について一通りの知識を得ておきましょう。そして、サイトの管理者として注意すべき点をしっかりと把握しておきましょう。

ショッピングカートではどんなセキュリティ対策が必要なのでしょうか?携帯の場合は特にどんな点が難しいのでしょうか?そして、サイトの管理者として注意すべき点はなんですか?。また、SSLの設定手順についても考えて見ましょう。最後に、データファイルのセキュリティの保護について考えます。

《PCカートのセキュリティ》

PCカートのセキュリティで必要な対策は何ですか?

セキュリティ対策として一般的に取り上げられている中で、ショッピングカートに関係しているのは主に次の2つです。

  • XSS(クロスサイトスクリプティング)
  • リファラースパム

XSS脆弱性は、特殊文字「<」「>」「&」「"」「'」を適切に処理すること(サニタイジング)により回避できます。これによりクッキーのハイジャック等のスクリプト混入を排除できるようにしてあります。
リファラースパム対策としてはIDやパスワードなど重要な情報はクッキーで受け渡すようにしてあります。
また、データが流出した場合を想定して、パスワードが暗号化(ハッシュ化)してあります。万が一、何らかの事故等によりデータが流出した場合でも対策を講ずるまでの十分な時間があります。詳しくは、PCショッピングカートのセキュリティ対策をご覧ください。

《携帯カートのセキュリティ》

携帯カートのセキュリティの問題点はなんですか?

携帯の場合の一番の問題点は、クッキーが使えない機種があるということです。それでその場合はURL埋め込みでセッションを維持しなければならず、リファラースパムの危険性があるということです(ショッピングカート内に外部へのリンクを貼らない限り脆弱性はないのですが)。しかし、パスワードの暗号化を工夫することにより安全性を高めることが出来ます。 それで、ピクトモバイルでは、パスワードをUserAgent、識別番号、時間的な情報などを使って暗号化し、かつ、IDとパスワードの引渡しをクッキーとURL埋め込み方式とを自動で切り替えて行なう方式を使った、ログイン方式を採用しました。
それには多くのメリットがありますが、携帯カートをそのままiPhoneやAndroidに対応させることが出来るというのはその大きなメリットです。携帯の固体識別番号などを使っている場合はそれが出来ないのですから。
FireFoxを使うと、PCから携帯ショッピングカートをテストすることができます。iPhone、Android搭載スマートフォンのテストもできます。UserAgentをいろいろ変えてテストしてみてください。(UserAgentが携帯、iPhone、Androidのものでないとログイン機能が使えないようになっています。)
詳しくは、携帯ショッピングカートのセキュリティ対策をご覧ください。

《管理のセキュリティ》

管理者はセキュリティにどう関係していますか?

管理プログラムはクッキーにより管理者用パスワードの認証を行います。パスワードは暗号化されて保存されますから、管理者以外には誰もわかりません(管理者用のパスワードを1234以外の値に設定して更新すると暗号化されます)。

また、IPアドレスが固定の場合はIPアドレスのチェック機能も付いていますので、セキュリティを一層強固にできます。しかし、この機能は必ずしも使わなければならないというわけではありません。パスワードを適切に管理することの方が重要なのです。

それで、管理者がパスワードをきちんと管理することがどうしても必要なのです。そして、ログアウトすることを忘れないでください。PCを他の人と共有している時には特に気をつけてください。その点に関しましては、管理のセキュリティ対策を参照してください。

《SSLの設定》

SSLの設定の手順を説明してください?

X-serverのラピッドSSL

SSLの設定の手順はショッピングカートのSSL設定手順で詳しく説明されています。
また、SSLには共有SSLと独自SSLがありますが、それについても、独自SSLと共有SSLの違いに記されています。もちろん、どちらでも良いと思いますが、携帯の対応状況を確認する必要があります。携帯対応で安い独自SSLはX-serverの独自SSL(ラピッドSSL、年10,500円)などを検討すると良いと思います。これからどんどん安い独自SSLが現れると思いますが。

《データファイルのセキュリティ》

データファイルはどのようにして保護しますか?

データファイルの安全性が最後になりましたが、実はこれが一番重量なのです。SSLやパスワードの暗号化よりもはるかに重要なのです。サーバー内のデータファイルが外部から読み取られないように注意を払う必要があるのです。
それで、データファイルの多くは、拡張子をcgiにするという方法をとっていますので、仮にアクセスしたとしても500エラーとなり読み取られることはないのです。
しかし、この点で一番危険なのがCSVファイルです。CSVファイルをWEB上からダウンロードすることがあるかも知れません。そうであれば、他の人もダウンロードできるということです。ですから、CSVファイルのダウンロードには気をつけてください。この点に関しましては、ファイル(個人情報)を保護する方法を参考にして必ず対処してください。

《スパムアクセス対策》

スパムアクセス対策は必要ですか?

スパムアクセスは増え続けているようです。私たちが知らないうちに毎日悪意のあるプログラムによるスパムアクセスをたくさん受けているのです。なぜそうしたことをするのかは分かりませんが。
そうしたスパムアクセスのほとんどは海外からのものです。それで、当社のショッピングカートでは、スパムアクセスへの対策を施しました。まず、海外からのスパムアクセスを防ぐためのチェック機能を標準で搭載いたしました。
それに加えて、より完全な形でスパムアクセスを撃退するスパムフィルター機能(オプション)をPCtoMobile以上で装備いたしました。(この点に関しましては、スパムアクセス対策を参考にしてください。

ショッピングカート比較 デジタルコンテンツ販売 決済比較 レンタルショッピングカート ショッピングカートCGI 無料ショッピングカート
格言解説 童話集 じゃんけん 診断テスト カウンセラー オーディオ攻略

CSS Template courtesy of DesignsByDarren