- ベストアンサー
フォームの内容を暗号化するためには
簡単な質問で恐縮なのですが、 WEBのフォームで入力内容を暗号化して送信するためには、 ・入力フォームのHTMLをSSLのページに置いて action先にもSSLのプログラムを指定 というのが一般的のように見えます。 これについて、実際はaction先さえ、SSLが指定してあれば フォームの入力内容は保護されると思うのですが、 入力フォームのHTML自体を暗号化してユーザーに送る必要があるのでしょうか?
- nawatobi22
- お礼率25% (14/54)
- ネットワーク
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
必要性はあると思います。 これは、SSLを施そうとするWebマスターの ポリシーによると思います。 試しに、TCPDUMPやパケットモニターされると 明らかにわかると思いますが、 SSLの設定が確実に施されていると仮定して https://~のやり取りを、パケットモニターしてみると 通信内容すべて(HTMLフォームから、送信データまで)が暗号化されますが 入力フォームが素のhttp://~からだとHTMLタグがモニターできます。 確かに、ActionなどでSSLを指定すれば その送信内容自体は暗号化されますが。 Action前の素のHTMLフォームから どういった項目を送信されたか、すべてSSL通信させた物と比べて、予測が容易になります。 この辺は、やっぱりWebマスターのポリシーです。 例えば、暗号化されていないHTTPでも 始点・終点の内部ネットワークにスニッファーする人間がいないなら インターネット上のネットワーク管理者で無い限り 内容がモニターされないと考えるWebマスターがいれば 別にSSLを使う必要も無いですし。
その他の回答 (1)
- Aruku-20030515
- ベストアンサー率23% (362/1544)
基本的な事ですみません。 SSLを使うという事は通信するホスト間は暗号して 送受信されます。 っといことは、SSL(443)を使ったHTTP通信でもすでに暗号化されてますが
補足
ご回答ありがとうございます。 言葉足らずだったかもしれません。 質問したかったのは、 https://hoge.com/foo.html から、https://hoge.com/bar.cgi にポストすると確かにフォームの内容は暗号化されている と思うのですが、 この際に、foo.htmlを、httpsから見せる必要性があるのか、という点です。 見た目SSLだと安心するから、という理由でSSLにしているような気がするのです。 実際は、bar.cgiさえ、SSLの下に置いておけばよいのではないでしょうか。
関連するQ&A
- WEB問い合わせフォームの暗号化
WEB問い合わせフォームの暗号化について調べているのですが、 問い合わせフォームだけSSLにしても、確認メールなどもなんとかしないと意味がないという記事をネットで見かけました。 一般的に、問い合わせフォームの暗号化などをちゃんとしているところは、問い合わせフォームの入力~確認メールを、どのような形で作られているのでしょうか。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- WEB問い合わせフォームのサーバメール暗号化
WEB問い合わせフォームのサーバメール暗号化について質問です。 httpsでWEBからの入力はSSLで暗号化されていますが WEBサーバがphpやCGIなどでメールサーバを使い問い合わせ内容などを メール送信処理する際はメール自体は暗号化されていません。 これですが、対処法はあるのでしょうか? メールサーバにpop over sslをいれるなどあるかと思いますが そもそもクライアントのメーラーにもpop over ssl対応設定を入れる必要がある気がします。 問い合わせ者を答える人が特定されていれば有効ですが 同じ内容を問い合わせした人にも送るパターンの場合対応 メールを受けるクライアントが不特定であまり有効でない気がします。 一般的にはどういった対応をしているのでしょうか?
- ベストアンサー
- PHP
- CGIを使わないフォームメール
CGI使用不可のWebサーバーにフォームメールを作成しました。HTMLで <FORM ACTION="mailto:送信先メールアドレス" METHOD="POST"> としたものです。 これを使うと 1.送信ボタンを押したら、「このフォームを送信すると、電子メールアドレスが受信者に公開され、フォームのデータが暗号化されずに送信されます。この送信は続行することもできますが、取り消すこともできます。」という非常に物騒なメッセージがでる。 2.受信した時の件名が「Microsoft Internet Explorer から投稿されたフォーム」となり件名を指定できない。 3.受信データがPOSTDATA.ATTという添付ファイルになり、内容がエンコードされたバイトコードでデコードしないと内容が読めない。 CGIを使ってSendmailで送信させればいいじゃないの・・・と思うでしょうが、ISPがCGI使用不可なのです。HTMLフォームで先の1~3が改善される方法はないでしょうか。
- 締切済み
- HTML
- SSLの原理?
「SSLのフォームに入力された情報は自動的に暗号化されて送信される」という説明がよくあるのですが、ユーザから送られた内容がSSLサーバ内で暗号化されるのではないのでしょうか?サーバで暗号化されるのであれば、サーバへ到達するまでは暗号化されないのでしょうか?もしくはユーザが送信する時点で暗号化されるのしくみということなのでしょうか?つまり、SSLサーバは「解読機」ということになるのかな?また、「SSLサーバはWebサーバのすぐ隣にないと意味がない」という見解を何かで読んだのですが、これはつまり「WebサーバとSSLサーバの間のやり取りは暗号化されない」ということでしょうか?私がWebページを作っているクライアントに説明を求められています。よろしくお願いします。
- 締切済み
- ネットワーク
- httpsページ内のフォームから送信のセキュリティ
WebサイトをSSL化してhttpsの表示をするようにしましたが、サイト内にあるお客様が入力する申込みフォームの送信についても、https後はSSL暗号化された通信がなされているという理解でよろしいでしょうか。
- ベストアンサー
- セキュリティ対策
- 暗号化なしの送信フォーム
古本の通販サイトで、暗号化(SSL)なしの送信フォームに住所など入力するのは抵抗があるのですが、やはり漏れる可能性がありますか? 直接メール(フリーメール)で注文しようと思うのですが。こちらのほうが安全でしょうか。 それと、暗号化しないサイトは、技術的に面倒なだけなんでしょうか、それとも導入にお金がかかったりするからなんでしょうか。こういう時代だし、セキュリティにかんして不誠実なサイトに見えてしまうんですが。 よろしくおねがいします
- ベストアンサー
- その他(ネットショッピング)
- httpでもログインフォームは暗号化される?
phpでトップページログインフォームより会員がログインできる仕組みを作りたいと思っています。 この場合、ログイン認証部分のみSSL通信をおこないたいと考えています。 この場合、 トップページをhttps://toppage.html(sあり)とし、 ログインフォームのaction先を、http://check.php(sなし)のように考えていたのですが、 http://q-shu.net/futsukaichi/ こちらのサイトURLは、トップページがhttpになっており、 会員ログインフォームのaction先がhttps:〇〇〇 となっています。 てっきりログインフォームのあるページURLはhttpsでないと暗号化されないと思っていたのですが、 action先がhttpsになっていれば暗号化されてデータは送られるのでしょうか? ご回答どうかよろしくお願いいたします。
- ベストアンサー
- PHP
- 非SSLページからSSLページへの遷移時の暗号化
SSLについて人によって意見がまちまちな問題が 浮上しており、困っております。 ぜひお詳しい方のお知恵をお借りできたらと思い投稿させていただきました。 非SSLページ(入力フォーム)→SSLページ(確認ページ) という単純な遷移です。 非SSLページは静的なhtmlファイルで 個人情報を入れてpostでsubmitするフォームになっています。 このとき、私の認識では、個人情報は暗号化されると 思っていました。 しかし、入力フォームもSSLページでなければ暗号化 されないという意見とそうでない意見が交錯しています。 遷移先がSSLであれば、証明書等チェックが入って 最終的にフォームの値含め、通信データは暗号化されて送信 されると思っていますが間違っているでしょうか? ちなみに個人情報を入れるページは心理的にはhttps であったほうがいいということは間違い無いと思います。 技術的な見地でお願いします。 よろしくお願いしますm(_ _)m
- 締切済み
- ネットワーク
- フォームに入力した内容をXMLに生成させるプログラムを作りたいと考えて
フォームに入力した内容をXMLに生成させるプログラムを作りたいと考えています。 いつもお世話になります。 WEBサイトの問い合わせフォームの様な形式で、 各フォームに内容を入力すると、指定のフォルダにXMLが生成される というプログラムをCGIを使って作りたいと考えておりますが、 ネットで調べてみた所、具体的なサイトがありませんでした。 例えば、HTMLベースのフォームに下記の入力フォームがあるとします。 入力フォーム1:名前 入力フォーム2:住所 入力フォーム3:電話番号 上記を入力して生成ボタンをクリックすると、 <name>なまえ</name> <addr>○○町三丁目</addr> <phone>123-4567</phone> というXMLが指定のフォルダに生成されるというプログラムです。 また、既に指定フォルダにXMLが存在している場合は、入力フォームに 既にあるXMLの項目が表示され、編集できるようにしたいと考えております。 当方、PHP、Perlは初級程度ですが、もし同じような仕組みを公開している サイト等が御座いましたらご教授ください。 宜しくお願いいたします。
- ベストアンサー
- PHP
- SSL暗号化の有無とIE6での警告について
初めまして。 自社のホームページ製作を担当しているものです。 初歩の質問で大変恐縮ですが、わかりやすく教えていただけますと幸いです。 【質問内容】 ●資料請求フォームをSSL化しましたが、 IE6のみ「このページにはセキュリティで保護されている項目と 保護されていない項目が含まれています」の警告がでます。 なぜIE6だけでるのでしょうか? また警告がでないようにするにはどうしたらよいのでしょうか? (動作確認ブラウザ:IE6、IE7、FF2.0、NS7) ●この警告がでた場合、「はい」でも「いいえ」でも送信内容は暗号化されているのでしょうか? (どちらにしても暗号化されるという情報と、 「はい」では暗号化されないという情報があり、 どちらが正しいのかわかりません) 弊社のページ構成========= 通常のページ(http:~) ↓ 資料請求フォーム(https:~) ↓ 入力内容確認画面(CGIで自動生成) ↓ 御礼の画面(https:~) ============== 通常のページから資料請求フォームに移動するときは警告がでないのですが、 資料請求フォームから確認画面に移動するときに警告がでます。 「いいえ」にすると確認画面のスタイルシートがきいていませんでした。 これはCGIの設定がhttp内のスタイルシートにリンクしているからでしょうか? CGIの設定を直さなければならないですか? 以上、大変長くなりましたが、なにとぞ宜しくお願いいたします。
- ベストアンサー
- ネットワーク
お礼
ありがとうございました。