ログインする際、ＳＳＬにした方がいいのか？

ＳＳＬを調べたら：
SSLは公開鍵暗号や秘密鍵暗号、デジタル証明書、ハッシュ関数などのセキュリティ技術を組み合わせ、データの盗聴や改ざん、なりすましを防ぐことができる。

と書かれています。

このごろメール、また会員制などにログインする際、
ＳＳＬもしくは非ＳＳＬの２種類のログイン方法があるのですが、何か大きな違いというのはあるのでしょうか。
セキュリティを考えたら、当然ＳＳＬでログインだと思うのですが、非ＳＳＬでログインするメリットは何かあるのでしょうか。


ぜひとも教えて頂けますか。

No.3 ベストアンサー 回答者： noname#25230 回答日時： 2004/10/13 13:20

SSLにしない場合の、ユーザーのデメリットとしては次のようなものが考えられます。

たとえば、途中の伝送路、たとえば、ネットワークのLANケーブルに何か機械を仕掛けて、流れるデータの中身を覗き見されたりした場合の被害です。SSLにしない場合、データは入力したままの状態で(厳密には違いますが、ほぼそのまま)ネットワークを流れていくため、覗き見をされると何を送ったが読まれてしまいます。
しかし、SSLにした時点で、サーバーとクライアント(各自のPC)の間で取り決められた方法で暗号化されたデータが流れるため、覗き見をしたとしても、何が書いてあるのかは読めません。

ただ、サーバー、クライアントのどちらも、データをやり取りする前に「これからSSLで送るけど、どうやって暗号化する？」「じゃ、この方法で」といった取り決めを行うためのデータ転送が発生するので、ネットワークを行きかう情報が増えて遅くなるというデメリットがあります。また、サーバーにしてみると、届いたものの暗号を解除する手間も発生するので、サーバー側も負荷がかかります。もちろん、一人の客だけならよいのですが、何万人という人がいっせいにログインしたりすることを考えると、塵も積もれば..で馬鹿にならない処理を行う必要があります。

ところで、覗き見なんて誰もやらないだろう？と思われるかもしれませんが、これ、実は結構簡単に行えます。普通の個人でそういう機械を持っている人は少ないでしょうが、ちょっとした会社などだと、その辺にそういうものが転がっていたりします。
これをちょいと持ち出して...なんてことは簡単です。
といわけで、いたずら目的から犯罪目的まで、何をやられてもしかたない、という前提で考えたときに、「見られても、読めない」という仕組みは必須になるわけです。

判りづらいかもしれまえせんが、参考になれば幸いです。

No.4 回答者： kazu333 回答日時： 2004/10/13 18:15

詳しい説明は既になされていますので、ご質問に忠実にお答えすると

非SSLでログインするメリットは、貴方にとってはありません。
可能な場合は、必ずSSLでログインすべきです。

No.2 回答者： txrx 回答日時： 2004/10/13 13:16

まずSSLを使うためには、証明機関にそれなりの費用を支払って、証明書を発行してもらう必要があります。

証明機関では、調査を行って、信頼できると判断した場合に証明書を発行します。

このため、SSLを使用しているサイトは信頼できるサイトといえます。

ただし、レンタサーバ等では、共通のSSL設定と言うものがあり、認証機関に証明書を発行してもらわなくてもSSLを使える場合があります。
これを考えると、SSLを使用しているサイトが信頼できるか？は不明ですね。
ただ、データ盗聴や改ざんは防げます。

SSL対応と非対応の２種類があるのは、ブラウザによってはSSLに対応していない事があるからです。
この場合、SSLのみだと、SSLに対応していないブラウザを使用しているユーザがログインできなくなります。
ブラウザのみではなく、社内のファイアウォール等の問題でSSLを使用できないこともあります。

参考URL：http://www.betrusted.co.jp/e-security/build2.asp

No.1 回答者： kuma-ku 回答日時： 2004/10/13 13:13

こんにちは

セキュリティを意識される場合は、SSLの利用をお勧めします。
SSLが利用可能なサイトでも、初期値を非SSLとしている所がほとんどですが、多くの理由は、SSLサーバに負荷がかかるからです。
多くのサイトでSSLを使用する場合、SSLアクセラレータと言う「SSL加速装置」を導入していますが、100%のユーザ接続を処理しきれないため、初期値は非SSL利用となっています

参考URL：http://www.keyman.or.jp/search/30000073_1.html