ショッピングカートのセキュリティ
このページではピクトモバイルのセキュリティについて説明します。難しい点なのですが、一通り理解しておいてください。
セキュリティの様々な面
セキュリティ問題は避けられない!
昔はどこの家でも鍵などかけていませんでした。しかし、今では、鍵をかけていない家はほとんどありません。しかも、鍵もかなり複雑なものになり、二重にも三重にもなっています。そして、泥棒に入られると「鍵をかけなかったのが悪るかった」と言われる時代になりました。
インターネットの世界もまったく同じといえます。ハッキングの手口も年々巧妙になりセキュリティ対策も一層強固なものが求められるようになりました。Windowsのセキュリティホールが見つかったという報告が絶えることはありません。人間が作ったものに完全なものはないからです。しかし、それでも、セキュリティホールや脆弱性に一つ一つ対処していかなければなりません。これは、時間とエネルギーを奪う大変な作業となります。そうした時間があったら、もっと有用な機能の開発に時間を使いたいのですがそうも行きません。それどころか、セキュリティそのものが一つの商品にさえなっているのですから。
そして、ショッピングサイトの場合、安全性をアピールすることは売り上げにもつながってきますから、十分に心して取り掛かりたいと思います。お店の管理者もセキュリティに注意を払う必要があります。プログラムは使い方によっても脆弱なもの(人為的な脆弱性)になるからです。では、セキュリティ問題に一緒に取り組みましょう。
ピクトモバイルのセキュリティ対策!
ピクトモバイルのセキュリティ対策について一通りの知識を得ておきましょう。そして、サイトの管理者として注意すべき点をしっかりと把握しておきましょう。
ショッピングカートではどんなセキュリティ対策が必要なのでしょうか?携帯の場合は特にどんな点が難しいのでしょうか?そして、サイトの管理者として注意すべき点はなんですか?。また、SSLの設定手順についても考えて見ましょう。最後に、データファイルのセキュリティの保護について考えます。
《PCカートのセキュリティ》
PCカートのセキュリティで必要な対策は何ですか?
セキュリティ対策として一般的に取り上げられている中で、ショッピングカートに関係しているのは主に次の2つです。
- XSS(クロスサイトスクリプティング)
- リファラースパム
XSS脆弱性は、特殊文字「<」「>」「&」「"」「'」を適切に処理すること(サニタイジング)により回避できます。これによりクッキーのハイジャック等のスクリプト混入を排除できるようにしてあります。
リファラースパム対策としてはIDやパスワードなど重要な情報はクッキーで受け渡すようにしてあります。
また、データが流出した場合を想定して、
- パスワードが暗号化(ハッシュ化)
《管理のセキュリティ》
管理者はセキュリティにどう関係していますか?
管理プログラムはクッキーにより管理者用パスワードの認証を行います。パスワードは暗号化されて保存されますから、管理者以外には誰もわかりません(管理者用のパスワードを1234以外の値に設定して更新すると暗号化されます)。
また、IPアドレスが固定の場合はIPアドレスのチェック機能も付いていますので、セキュリティを一層強固にできます。しかし、この機能は必ずしも使わなければならないというわけではありません。パスワードを適切に管理することの方が重要なのです。
それで、管理者がパスワードをきちんと管理することがどうしても必要なのです。そして、ログアウトすることを忘れないでください。PCを他の人と共有している時には特に気をつけてください。その点に関しましては、管理のセキュリティ対策を参照してください。
《SSLの設定》
SSLの設定の手順を説明してください?
SSLの設定の手順はショッピングカートのSSL設定手順で詳しく説明されています。しかし、最近は、常時SSLを使いますから特別な設定は必要ないのです。
また、SSLには共有SSLと独自SSLがありますが、それについても、独自SSLと共有SSLの違いに記されています。しかし、現在、どんどん安い、あるいは、無料の独自SSLが現れていますので、是非とも独自SSLを導入しましょう。
無料独自SSLが使えるお勧めサーバー
《データファイルのセキュリティ》
データファイルはどのようにして保護しますか?
データファイルの安全性が最後になりましたが、実はこれが一番重量なのです。SSLやパスワードの暗号化よりもはるかに重要なのです。サーバー内のデータファイルが外部から読み取られないように注意を払う必要があるのです。
それで、データファイルの多くは、拡張子をcgiにするという方法をとっていますので、仮にアクセスしたとしても500エラーとなり読み取られることはありません。
しかし、この点で一番危険なのがCSVファイルです。CSVファイルをWEB上からダウンロードすることがあるかも知れません。そうであれば、他の人もダウンロードできるということです。ですから、CSVファイルのダウンロードには気をつけてください。この点に関しましては、ファイル(個人情報)を保護する方法を参考にして必ず対処してください。
《スパムアクセス対策》
スパムアクセス対策は必要ですか?
スパムアクセスは増え続けているようです。私たちが知らないうちに毎日悪意のあるプログラムによるスパムアクセスをたくさん受けているのです。なぜそうしたことをするのかは分かりませんが。
そうしたスパムアクセスのほとんどは海外からのものです。それで、当社のショッピングカートでは、スパムアクセスへの対策を施しました。まず、海外からのスパムアクセスを防ぐためのチェック機能を標準で搭載いたしました。
それに加えて、より完全な形でスパムアクセスを撃退するスパムフィルター機能(オプション)をPCtoMobile以上で装備いたしました。(この点に関しましては、スパムアクセス対策を参考にしてください。
XSS
XSS(クロスサイトスクリプティング)とはセキュリティ上の不備を意図的に利用し、悪意のあるスクリプトを混入させることです。この手口で最も一般的なものはクッキーのハイジャックです。しかし、XSS脆弱性は、特殊文字「<」「>」「&」「"」「'」を適切に処理すること(サニタイジング)により回避できます。
暗号化とSHA512
パスワードを暗号化するように勧められていますが、まだのお店は少なくありません。パスワードの再発行の手続きをしてあなたのパスワードが送られてきたら、暗号化されていないということです。暗号化するとお店の方もプログラム開発者も誰も元のパスワードが分からなくなるのですから。分かるのはあなただけなのです。それで、この場合、仮パスワードを作成して送信するという手法を用いています。会員は、仮パスワードでログインしてから、パスワードを変更して使うことになります。
この不可逆暗号化にはSHAというアルゴリズムが多く使われています。アメリカや日本の政府でも使われています。
無料SSLを体験
多くのサーバーで無料のSSL(Let’s Encrypt)が使えるようになっています。無料ですが、まったく問題ありません。ではそれをPCtoMobile-2で体験してみてください。