gooやyahooのセキュリティについて
- 社内でプライベートのメールアカウントを使用する際のセキュリティについて疑問があります。
- 特にセッションジャックによる情報漏えいの可能性について心配しています。
- 社内では閲覧履歴のチェックを行っていますが、フリーメールの中身は見られるのか、監視ソフトの種類や対策方法について教えてください。
- ベストアンサー
gooやyahooなどのセッションジャックなどのセキュリティについて
gooやyahooなどのセッションジャックなどのセキュリティについて 社内でプライベートでyahooメールとか使ってる人をたまに見かけるんですが、社内でそうゆうの使用した場合は、社内の人にyahooメールの内容とか見られるのじゃないかと気になっています。 例えば、セッションを維持してる状態で席を離れてる間にクッキーをLANで接続してる他のパソコンで取得したりして、セッションジャックなんて事はないのでしょうか? 方法は分かりませんが、社内では一応どのPCがどのサイトを閲覧したかのチェックを行っています。 質問内容としては、 特殊な監視するようなソフトなくても、フリーメールの中身は見れるのか? 監視ソフトにはどのような物があるのか? 手順や方法、見れないようにする対策など情報を頂ければと思います。
- ipyodora
- お礼率88% (215/242)
- その他([技術者向] コンピューター)
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
会社の規模・ポリシーによって異なるので一般的と言って良いのかわかりませんが、現在はゲートウエイによるネットワーク監視に主流が移行していると思います。 端末個別ごとに管理するより、一括管理できるので労力が少なくて済みますしユーザーが立ち入る余地がありません。 個別の監視については、まともな管理者ならアンダーグラウンド的な技術を使用せず、正規のセキュリティ製品を使用します。大手メーカーのセキュリティ製品のエンタープライズエディションなら端末の情報を一元管理できます。 サーバー系ならJP1とかHinemosとかですが、こちらは用途が違います(運用監視)。 もちろん、どちらか一方を選択するというのではなく最小の労力で最大のパフォーマンスを上げるようバランスを取って組み合わせていると思います。
その他の回答 (1)
- localica
- ベストアンサー率52% (202/385)
>特殊な監視するようなソフトなくても、フリーメールの中身は見れるのか? 技術的に可能です。 >監視ソフトにはどのような物があるのか? 膨大な数になるので書ききれません。 >手順や方法、見れないようにする対策など情報を頂ければと思います。 社内でプライベートメールの使用を止める事です。
関連するQ&A
- セッション脆弱性を克服するには?
またお世話になります。 いつも的確な回答を頂いて助かっていますm( __ __ )m 【仕様】 ・ ログイン認証ページのみ SSL で、それ以外のページは 【非SSL】 です。 ・ ログイン認証時にセッションIDをクライアントのクッキーに保存し、サーバー側では MySQL にセッションIDとログイン情報を保持します。 ・ 認証以降のページでは、クライアントから送信されてくるクッキーセッションIDを元に MySQL のデータと照合し、ユーザーのログイン状態を維持します。 ・ 言語は PHP を使っています。 よくあるセッション管理サイトだと思います。 そして、セッションIDさえ盗まれなければセキュリティとして問題無いと考えています。逆に言うとセッションIDが盗まれると極端に弱いと思います。 【私の考える脆弱性】 ・ ログインページ以外が 非SSL ということから、セッションIDの盗聴が可能かと思います。 ・ 普通に使用していても悪意あるサーバーを経由したらトレースされて簡単にセッションIDが抜かれると思います。 ・ ログインした状態のユーザーが怪しいリンクをクリックしてクロスサイト攻撃でクッキーを抜かれる可能性もあります。 質問は、なぜ、こういった多くの問題が予測できるのに この「教えて!Goo」の認証もログインページはSSLですが、それ以外は非SSLです。といった具合に多くのサイトがこのような認証方式を取っているのか? もう一つ質問は、私は先に上げたような脆弱性を防ぐ方法がわからないのですが、何か画期的な方法でセッションハイジャックなどを防御しているのでしょうか? もしくはセッションIDが盗まれてもそのセッションIDでのアクセスを無毒化するような方法があるのでしょうか? 以上です。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- セキュリティソフト
「NURO 光 Safe」というセキュリティソフトを使っています。 (中身は「F-Secure SAFE」らしいです) このようなセキュリティソフトという物は、例えばパソコンで利用しているヤフーメールやOutlookメール、あとはソネットのメールアプリなど、そういうメールソフトやアプリでウィルス付きメールを受信した時でも、監視やガードなどをしてくれているのでしょうか? ヤフーメールの有料オプションにウィルスメールチェック等をしてくれる「セキュリティーパック」というのがあって、それを導入しようかと思っていたのですが、「NURO 光 Safe」自体にそういう機能があるのであれば不要なので、色々調べたのですが解決に至らず。 詳しい方おられましたら、アドバイスいただけると助かります。 よろしくお願いします。
- ベストアンサー
- セキュリティソフト
- sessionとcookieの設定内容の区別
セッションとクッキーの使い分け方法を教えていただけないでしょうか? 簡単に言えばセッションがサーバサイド、クッキーがクライアントサイド、 セッション内容はブラウザ切れば消える(残すことも出来る)、クッキーはブラウザに残る、 と言うことは分かっているのですが、実装の仕方が分かりません。 例えばログインフォームでは$_SESSION['name']、$_SESSION['password']を回す・・・というのは分かります。 認証が終われば$_SESSION['name']、$_SESSION['password']は破棄して$_SESSION['login']=TRUE等を使うのではないかと思っております。 (そうではなくて、認証後は全て$_COOKIEで処理するのでしょうか?) で、$_COOKIEにはsessionIDが入っていると。 しかしながら、ブラウザ切っても暫くしてまたサイトを訪れたときにログイン状態が続くようにするにはどのようにすればいいのでしょうか? $_COOKIEにその情報を格納するのだと思うのですが、例えば$_COOKIE内にユーザidやlogin=OKのような文字を入れているとブラウザから見えてしまいます。 勿論ハッシュ化をして簡単には把握できないでしょうが、ここにはどんな情報が格納されているのか見当も付きません。 具体的な$_SESSION、$_COOKIEに入れるものと、サイトでの各々の実装法を教えていただけないでしょうか?
- ベストアンサー
- PHP
- SESSIONとCOOKIE
はじめまして。 現在、下記環境で開発をしております。 winXP PHP5 smarty3 Mysql 開発は一般的な検索サイトです。 全て一人で行っているものなので規模は小さいものです。 ここで質問なのですが、今セッションとクッキーの使い方について自分で説明できなくなってしまっています。 実現できているからいい そういうつくりになっていて個人的にはあまりうれしくない状態です。 下記が僕の見解です。 【サーバー側の一時記憶領域。 セッション】 アクセス中、一時的に値を確保したい場合に使っています。 ・コンボボックスに表示する内容 ・検索結果の配列 ・会員情報 【クッキー】 クライアント側の記憶領域 クライアント依存があるものでクッキーが有効でない設定の人ものいそう、、 利用していません。 現状はクッキーは使用できていないのですが、インターネットなどで調べると、 ↓クッキー↓ クッキーとは、Webサイトの提供者が、Webブラウザを通じて訪問者のコンピュータに一時的にデータを書き込んで保存させるしくみ。 ↓セッション↓ 接続から切断までの通信の事 とありました。 この答えが全てだとは思いませんが、実際に値を一時的に格納するならどう考えてもクッキーが適任に思えてしょうがないのです。 ここで質問です。 場合による、となればそれまでかもしれませんが実運用されているシステムなど構築する場合、この二つの一時記憶領域をどのように使用するべきなのでしょうか? 持論、参考URLなどなんでも結構です。 よろしくお願いいたします。
- 締切済み
- PHP
- セッションに関して質問が御座います、
現在、ログイン関係のプログラムのテストをPHPにて製作しています。 PCと携帯電話に対応させるためセッションを状況によって使い分けるようにしました、 内容としては↓ (1)クッキーが使えるか判断する→使える場合は普通にセッションスタート。 (2)クッキーが使えない場合は40桁の0~9、a~b、A~Bの乱数を生成してセッションIDとしてセッションスタート。 以上の二つを行ってセッションをスタートさせる事にしました。 (1)の方は問題なく動作しましたが問題なのは(2)の方です。 ランダムな値をセッションIDにセットしてセッションスタート、同時にセッションに値を入れてセッションIDをGETで送信、 受け取り側ではGETでセッションIDを受け取ってそのIDでセッションスタートするのですがセッションに入れた値が上手く取れません、恐らく空になっていると思われます。 受け取り側の方でセッションをスタートさせた状態で「session_id()」を使い確認したところ設定したセッションIDは問題なく表示されています、 これはセッションスタートは問題なく行えたと考えて宜しいのでしょうか? また、セッションに値を入れる時も取り出す時も(1)と(2)は同じ方法です、違うのはセッションスタートの時だけです。 (ランダムな値をセッションIDにセット、GETでセッションIDを受け取った場合はそのセッションIDでセッションスタート) テストではAUはCookie使用可能だったので問題なし、DoCoMoではCookie使用不可なので動作せず、しかしサーバー環境によって正常に動作します。 一部のサーバーでは正常に動作するのでプログラム自体は問題無いと思うのですが……。 良い解決策などありましたら教えて下さい、宜しくお願い致しますm(_ _)m
- ベストアンサー
- PHP
- Yahooメールの内容を消し去りたい
1.パソコン初心者です。Yahooメールの内容を消し去りたいのです。(全てのフォルダの中身を)分かりやすく よい方法を教えて下さい 2.ゴミ箱を空にするとそのメール内容を後からチェックする事はできないのでしょうか? 3.パソコンに詳しい人が後から見れば内容確認できてしまうのでしょうか? すいませんがご存知の方お願いします!
- ベストアンサー
- その他(メールサービス・ソフト)
- 会社のパソコンでホットメール・・・・
中小企業に勤めているのですが、会社のパソコンを使って ホットメールを開いたり送信したりした場合、中身まで監視されていたりするのでしょうか? 会社のメールは監視されているとは知っているのですが、ホットメールやgoo、yahooのWebメールの内容は監視できるものなのでしょうか?
- ベストアンサー
- ネットワーク
- yahooゆうパックって?
オークション出品者です。 落札者の方からメールがきてyahooゆうぱっくで といわれました。 yahooゆうパックは初めてなのでどうすればいいのか 分かりません。 yahooゆうパックについて教えてください。 https://takuhai.yahoo.co.jp/html/FAQ_01.html#603 のページを見ると、支払方法が Web上でのクレジット、ネットバンク決済とありますが ファミマで現金は無理なのですか? ネットバンクってUFJでもいいのでしょうか? ネットバンクって初めてなので自信がないです・・・。 教えてください。
- ベストアンサー
- オークション
- Yahooメールのページが開かない~!
メールソフトなどは使っておらず、Webでログインできても、Yahooメールのページが開かないことが頻繁に起きます~! ツールの『閲覧の履歴の削除』で『一時ファイル』『クッキー』『履歴』の削除を行っていますが、何ともなりません。 どうすれば良いか、ご助言いただけませんか~! 状況は、Yahooメールのページが開かずに、【Internet Explorer では jp.f1002.mail.yahoo.co.jp が見つかりませんでした】というメッセージの出るページが出現して困っています・・・。
- ベストアンサー
- その他(メールサービス・ソフト)
- 会社にて・・
社内でのIPメッセンジャーやEmailは内容が監視できるぞ。 ・・と、会社側からは言われているのですが、 gooやYahoo,infoseekやhotmail、と言ったようなフリーメールも 送信内容や、下書きで保存した内容も監視できてしまうのでしょうか? カテゴリ違いでしたらすみません><;
- 締切済み
- その他(メールサービス・ソフト)
補足
回答ありがとうございます。質問の意図としては、技術的な事に興味があるので、その内容を知りたいと思っていました。ただ、○○ハックみたいな本を買う程でもないし、と言う感じで質問しました。 後、監視ソフトは色々な物があるとは思いますが、すべて列挙して頂きたいと言う訳でもありません。 手順や方法、見れないようにする対策なども同じく技術的な面からの質問です。意図が伝わりにくくてすいませんでした。 もし良ければ、この辺りの技術を調べれば、分かるなどでも構いませんので、宜しくお願いします。 たぶん、社内の人に簡単にジャック出来てるのを目の当たりにさせれば、使用もしなくなると思いますし、自分の好奇心も満たされ、セキュリティに対する知識も上がり、良いかな~と思ってます。