レディング自治区議会は、ユーザーに疑わしい技術セキュリティ慣行を推奨したことで批判を受けた後、計画ポータルを安全に復元した。
今朝、修正版が公開される前、イングランド地方自治体のオンライン計画申請ポータルは「技術的な問題」によりオフラインになっており、その機能停止はほぼ1か月にわたって続いていた。
同評議会の公式アカウントは、現在削除されているXの投稿を通じてこの問題に関する議論に応えて、計画ポータルへのアクセスを妨げる技術的問題を回避する方法として、ユーザーにブラウザでHTTPSを無効にすることを推奨した。
ユーザーにHTTPSを無効にするよう指示した区議会のX投稿を読む
11月26日まで、同じアドバイスが計画ポータルのホームページ全体に広がる黄色いバナーに掲載されていました。
同評議会は、セキュリティ機能をオフにする方法を説明する前に、Safari では HTTPS をオフにできないため、Safari ではなく Chrome を使用してサービスにアクセスするようユーザーにアドバイスした。
Chrome は 2021 年からデフォルトのナビゲーション プロトコルとして HTTPS を使用しており、ウェブサイトの読み込み速度が向上し、データの傍受や操作から保護されています。
HTTPSはHTTPをベースに、リクエストとレスポンスにTLS暗号化を使用します。つまり、ウェブサイトに送信される機密データは、平文ではなく暗号化されます。暗号化されていないHTTPリクエストが傍受されると、サイバー犯罪者にパスワードなどの機密情報が提供され、より深刻な攻撃につながる可能性があります。
ユーザーが計画申請のために評議会のウェブサイトで機密情報を送信する可能性は低いものの、その後 HTTPS を再度有効にし忘れると、オンライン攻撃に対して脆弱な状態が続く可能性があります。
- 研究者が深刻な脆弱性を暴露した後、OpenCartの所有者は激怒した
- Windows Hello を中指立てて、盗まれたノートパソコンで他人としてログインする方法
- 英国、インターネットの安全確保のため「スーパー苦情処理制度」を提案
- バグハンターの皆さん、準備はいいですか?TETRA無線暗号化アルゴリズムがパブリックドメインに
何よりも、レディング市議会は恥ずかしいほど劣悪なセキュリティ衛生を推進していた。
同評議会はその後、この情報を公表したことを「不正確」だとして謝罪した。
11月24日の最新の更新で、評議会は「ツイートされた情報が誤っていたことをお詫びします」とツイートした。
同市議会は本日、 The Register紙に声明文を送付した。「修復作業が無事完了したため、11月27日午前10時8分に安全な接続が回復し、市議会の計画ポータルがオンラインに戻りました。」
一部のインターネット ブラウザーからのアクセスがブロックされていたため、計画ポータル Web サイトの更新が必要でした。
「明らかに不便と混乱を招いたことをお詫び申し上げます。ポータルは現在、ユーザー側で特別な操作をする必要もなく、完全に稼働しているはずです。」
地方当局は、HTTPSを無効にするという当初のアドバイスが内部でどのように承認されたかについては回答を拒否した。
レジスターは国家サイバーセキュリティセンター(NCSC)に連絡を取ったが、返答はなかった。
GCHQ のサイバーセキュリティ部門からウェブサイト運営者への公式アドバイスは、ウェブサイトがプライベートコンテンツやサインインページ、クレジットカード情報などのその他の機密情報を含まないほど基本的なものであっても、常に HTTPS を使用することです。
Reading Borough Council のような英国の公共部門組織は、NCSC の Web Check サービスにアクセスできます。このサービスでは、Web サイトを監査し、誤った構成や HTTPS が使用されているかどうかを特定できます。®
