- 締切済み
WEBサイトのフォーム作成で送信情報を保護したい
お問合せフォームを作成し、postで送信してもらいます. サーバは受け取るとsendmailを起動しWEB管理者や受付担当者にメールを送信します. (問合せしたフォーム送信者にもWEB管理者を送信元にして控えを送信します.) この流れにおいて全てのプロセスでSSLは有効でしょうか? 特にサーバが起動して送信するメールにもSSLが有効となるのか疑問に思いました. SSLが有効なのはhttpのプロトコルによるサーバとクライアントの間の送受信時のみと思っているのですが、考え違いはないでしょうか? また、サーバが送信するメールにSSLが効かないとすると、保護する方法はありますでしょうか?
- pyon-yon
- お礼率54% (6/11)
- PHP
- 回答数4
- ありがとう数1
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- superside0
- ベストアンサー率64% (452/698)
> 世の中でhttpsを使ったフォーム設置しているサイトを見かけますが、これらはメールを使わずにhttpsで一貫してフォームを処理するのが一般的でしょうか? SSLを使うということは、個人情報や課金情報を扱うフォームが多いいはずですが、 これらのデータをまるっとメールで送られてくることは、まずないと思います。 たとえば、ECだと、クレジットカード番号まではメールされてこなかったり、下4桁のみになっていたり、 秘匿すべきデータはメールに入れずに、確認用のURLだけ記載してあって、 サーバーにログインして閲覧(SSL)するという方法 が 多いのではと。 また、サーバー上にデータを蓄える場合も、第三者が閲覧できてしまわないようにするのは もちろんですが、案外 外部からの侵入よりも、 サーバー管理者やデータ更新作業者からの内部漏洩のほうが多いので 担当者以外には、アクセスできないようにしたりとか、作業者のPCからUSBメモリーやCD-Rやネット上に書き出せないようにする といったことも 対策します。 といっても、その守るべきデータの価値や企業の損失と、 その対策にかかるコストとのバランスが 重要ですので、どこまでやるかは、ケースバイケースですが。 余談ですが、私が危ないなと思うサイトは「パスワードを忘れた」のフォームで、パスワード再発行専用URLがメールされてくるのでなく 元の生のパスワードをメールで送ってくるサイトです。 このメールが盗聴されたときの問題もありますが、 サイト上のでパスワードを ハッシュ化(不可逆暗号)しないで生パスワードのまま保存している ということになるので、 このアカウントデータがもし流出したときは、 「私のいつものパスワード」がもれてしまい、他のサイトへも簡単にログインできてしまえます。
- 神崎 渉瑠(@taloo)
- ベストアンサー率44% (1016/2281)
>お問合せフォームを作成し、postで送信してもらいます. >サーバは受け取るとsendmailを起動しWEB管理者や受付担当者にメールを送信します. >(問合せしたフォーム送信者にもWEB管理者を送信元にして控えを送信します.) > >この流れにおいて全てのプロセスでSSLは有効でしょうか? 可能と言えば可能ですが、 メールサーバーにSSLのシステムをインストールする必要があり、 ウェブサーバーがメールを送信するときに、単純に送信するだけでなく、SSLを使用した送信の仕方にしなければなりません。 (フォームメールでは、ウェブサーバー=メールクライアントという役割になっています。 すみませんが、SSLを使った送信の仕方はわかりません。) https://www.verisign.co.jp/ssl/products/sidh_1_2_d.html >また、サーバが送信するメールにSSLが効かないとすると、保護する方法はありますでしょうか? メールソフトで受信するのではなく、 フォームを受信したサーバーにhttpsでアクセスするウェブメール(パスワード認証制のBBSと同じ方式)であれば、 メールサーバーを用意する事なく、SSL通信が可能となります。 この場合は、データを暗号化して保存しておき、閲覧時に復号化処理を施して置く方がいいと思います。
補足
ありがとうございます。 お客様や管理者、回答担当者(以下「お客様等」)がメールソフトで受信する前提だと、 サーバーがsendmailで送信する際にSSLで暗号化されたメールでお客様等に向かって送信 されるワケですね?お客様等には復号化してもらう必要が出てくるわけですね。 (具体的な方法は別として) 次にいわゆるWEBメールで受信する前提ならば、httpsで(SSLで)安全に処理できると いうことですね。 そうしますと、方法は二通りあり、 (1)お客様等にSSLまたはGPL等の復号化可能なメールソフト (2)SSLが可能なWEBメールを用意する、 のどちらかを実施することで、一定の安全性を確保する、 ということになりましょうか?どちらも「メール」が必要になりますが、他にはお客様等が 当該WEBサイト上のhttps領域上にパスワードで入って処理する方式もありそうですが、 どうなのでしょう?サーバとブラウザでできると思うのですが。
- superside0
- ベストアンサー率64% (452/698)
複合→復号 でした。
- superside0
- ベストアンサー率64% (452/698)
> SSLが有効なのはhttpのプロトコルによるサーバとクライアントの間の送受信時のみと思っているのですが その通りです。 クライアントとWebサーバー間が暗号化されるというだけで、 ・Webサーバー上に保存されるデータ ・メール送信が終わるまでのキューに溜まっったメールのデータ ・メールが送信される間の通信経路 ・届いた先のメールサーバーのスプールに溜まるデータ ・メールサーバーからPOP等で取り出す通信経路でのデータ ・メールソフト上で取り出されれてクライアントPC上に保存されたデータ は全て、暗号化されません。 このため上記のいずれかから流出や盗聴される可能性はゼロではありません。 メール本文をPGP暗号などで暗号化する方法もありますが、 そのメールを読む為には、暗号を複合するという手間が生じます。
補足
ありがとうございます。 フォームをSSLにしただけで十分でないことが確認できました。 また、サーバからの返信メールに関わる対策のご教示ありがとうございます。 世の中でhttpsを使ったフォーム設置しているサイトを見かけますが、これらはメールを使わずにhttpsで一貫してフォームを処理するのが一般的でしょうか? それとも、メールを使い、お客様にもPGP復号化してもらうような形で処理するのでしょうか? 実施し易そうな前者が多そうですね。
関連するQ&A
- WEB問い合わせフォームのサーバメール暗号化
WEB問い合わせフォームのサーバメール暗号化について質問です。 httpsでWEBからの入力はSSLで暗号化されていますが WEBサーバがphpやCGIなどでメールサーバを使い問い合わせ内容などを メール送信処理する際はメール自体は暗号化されていません。 これですが、対処法はあるのでしょうか? メールサーバにpop over sslをいれるなどあるかと思いますが そもそもクライアントのメーラーにもpop over ssl対応設定を入れる必要がある気がします。 問い合わせ者を答える人が特定されていれば有効ですが 同じ内容を問い合わせした人にも送るパターンの場合対応 メールを受けるクライアントが不特定であまり有効でない気がします。 一般的にはどういった対応をしているのでしょうか?
- ベストアンサー
- PHP
- メール送信に必要な情報は?
お世話になります。 一般的にメールソフト等でメールを送受信するには、 ・SMTPサーバ ・POPサーバ ・メールアドレス ・アカウント、パスワード が必要になるかと思いますが、メール送信のみ行いたい場合に、必要な情報は ・メールアドレス だけでは無理なのでしょうか? ホームページの問い合わせフォーム等のCGIでは、sendmail等のプログラムを使う際にSMTPサーバ等の情報は必要ない為、メールアドレスだけでメール送信は可能かと思っていましたが、これはsendmail自体がSMTPサーバの情報を内部で持っている為にCGI側が準備する情報としてはメールアドレスだけとなるのでしょうか? よろしくお願いします。
- ベストアンサー
- その他([技術者向] コンピューター)
- メールフォームを作成したい
お世話になります。 今、とあるイントラネット上で、問い合わせフォームを作成し、メールで内容を送信するページを作成して欲しい、といわれました。 早速フリーのCGIを編集しなおしてテストしてみたのですが、肝心なことにsendmailがないことに気づきました。 ただ、ユーザーが使用するメーラーはoutlookとは限らず、<form>の中で"mailto:..."を宣言するだけではダメなのです。 サーバはOSwin2000、SSIです。perlは以前から必要だったのでインストール済み、後はおそらくsendmailの処理だけなのですが、sendmailをイントラネットサーバに入れることは簡単なのでしょうか。入れるとしたら考慮する点はどんな事でしょうか。もしくは、sendmailを使用しない方法等ご存知の方、教えてください。 現在の仕様はいわゆる一般的なメール送信フォーム、htmlとplで動かすものです。 どうぞよろしくお願いします。 説明が上手く出来なかったので補足が必要であればご指摘お願いいたします。
- ベストアンサー
- CGI
- メールフォームが作成できません。
現在、自分のホームページでメールフォームを作成しています。 メールフォームについて調べていると、CGIを使用しているサンプルプログラムと、HTMLタグでメールを送信するサンプルプログラムを参考にしてテストしてみました。 その結果、内容を入力し「送信」ボタンを押下すると、 この問題は以下を含む様々な原因により発生します。 ・インターネット接続が失われた。 ・Web サイトが一時的に利用できない。 ・ドメイン ネーム サーバーに到達できない。 ・ドメイン ネーム サーバーに、この Web サイトのドメイン名の一覧 がない。 これが HTTPS (安全な) アドレスである場合、[ツール]、[インターネット オプション]、[詳細設定] の順にクリックして、[セキュリティ] の項目の下にある、SSL と TLS のプロトコルが有効になっていることを確認してください。 SSLとTLSの確認をしましたが、設定に問題はありませんでした。 何に問題があるのか解りません。 原因と解決策があったら教えてもらいたいです。 他に良いメールフォーム作成方法がありましたら、教えて下さい。 よろしくお願いします。
- 締切済み
- HTML
- WEB問い合わせフォームの暗号化
WEB問い合わせフォームの暗号化について調べているのですが、 問い合わせフォームだけSSLにしても、確認メールなどもなんとかしないと意味がないという記事をネットで見かけました。 一般的に、問い合わせフォームの暗号化などをちゃんとしているところは、問い合わせフォームの入力~確認メールを、どのような形で作られているのでしょうか。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- 個人サイトで出来る送信フォームのセキュリティについて
個人でアクセサリを作成している知人から相談を受けました。 これからレンタルサーバ(共有Webスペース提供)と契約し、Webサイトを作って注文を受けたいのだそうですが、商品の送付先をフォームから送信してもらう時にセキュリティについて不安を覚えたそうです。 企業レベルでしたら、SSLを使ったりすればある程度までは確保できるとは思いますが、費用等を考えるとなかなか、そこまですぐには出来ないようです。 そこでお伺いしたいのですが、SSL等、初期費用が高額な方法を避け、かつスタンダードなレンタルサーバで可能なかぎり、送信フォームのセキュリティを確保するにはどのような手段があるでしょうか。 そもそも無理である、という回答もアリですが、出来れば実用的な方法をうかがえると嬉しいです。 よろしくお願いいたします。
- ベストアンサー
- ネットワーク
- メールによる個人情報送信について
Eメールにて個人情報を送信すると たとえば、電話番号やメールアドレスや住所氏名など、 が第三者に漏れるといいますが、次の3つにあげるものを 危険性の高い順に教えてください。 1、WEBサイトのメール送信フォーム(SSLなどの処理なし) 2、ISPの送信メールサーバ 3、WEBメールサービス あと、入手されやすい情報と、されにくい情報の例も教えてください。
- ベストアンサー
- その他(インターネット・Webサービス)
- 自宅設置のWEBサーバーからメール送信
LINUX初心者です。なんとか自宅にWebサーバーを 設置し稼動しました。 現在、作成したホームページの掲示板に書き込ん でいただいた方にお礼のメールを送信できればと 格闘しています。掲示板に書き込みがあった時、 サーバー管理者にはメールが来ているのでロー カルユーザーには送信できています。 <サーバー環境> Turbo Linux Server 6.1 Apache 1.3.12 sendmail 8.9.3-23 <インターネット> ISP:Biglobe IP:固定IP取得済み DOMAIN:独自ドメイン取得済み Mailサーバー:abc.独自ドメイン(Biglobe) WindowsのOutlookExpressでMailサーバーに接続し 送受信は出来ました。 このような環境で自宅のWebサーバー内に設置した CGIからメールの送信は可能でしょうか? ヒントだけでもご教授いただけると助かります。 よろしくお願いします。
- ベストアンサー
- CGI
- 自社WEBサイトの入力フォームと個人情報に関して
【企業の入力フォームの送信後の処理を担当されている方、企業のWEB制作の方に質問です。】 長年放置していた自社のWEBサイトを作り替えしようとしています。 入力フォームとその後の処理と個人情報の取り扱いに関してお聞きしたいです。 入力フォームは2種類あります。 ひとつは総合のお問合せ、もう一つは業務的入力フォームです。 ECサイトのようにカートで物を売るようなものではなく、一旦連絡先を頂いて、打ち合わせをして契約するというというものです。 お名前、ふりがな、メールアドレス、住所、電話番号、質問内容などを入力して 送信すると 送信者には打ち込んだ内容の確認メールが届き サイトの担当者にもほぼ同じ内容のメールが届きます。 この時 個人情報をメールに平文で書いて送るのは今のご時世マズいのでは? という指摘がありました。 その辺りどうなのでしょうか? では、どうすればいいの?って話で 例えば 送信者には 質問内容など個人情報でない部分だけを送信 担当者には 入力内容をファイルにして鍵かけて添付するか 通知だけメールで行いサーバーに保存した内容を見に行く とか 総合のお問合せはニックネームとお問合せのみにして個人情報を取らない 業務側も法人名と法人の連絡先+担当者ニックネームだけ入力させて個人情報を取らない みたいな具体的な案もあるのですが、実際の話として、どういうのが妥当なのでしょうか?
- ベストアンサー
- その他(インターネット・Webサービス)
補足
ありがとうございます。 暗号化等が不要な情報はメールにし、必要な情報はログイン方式にする、 という合わせ技で考えていく必要があり、どちらか一方だけというのは あまりないのかもしれませんね。