• ベストアンサー

SSLについて

おはよう御座います。お世話になっております。 題名にある「SSL」に関して、諸先輩方々のご意見を伺えればと思い、投函させていただきます。 その理由とは、 先日からレンタルサーバ(共有)を借り始め、SSLとすべくファイル(ログインやメールフォームなど)を、secureディレクトリに設置して試みているところですが、ログインなど、secureディレクトリにおいて認証されたセッションなどを通常のルートディレクトリに引き継ぐ為には、セッションではなく、クッキーを用いてその情報を受け渡すよう指導を受けました。 しかしながら、この流れの条件は通常のルートディレクトリにおいてクッキーを読み込ませる為、クッキー送信時、secure属性を付加しないという条件だったのですが、これだと暗号化されずSSLを用いるメリットが半減されるというものでした。 私自身、このSSLというのを触るのは今回が初めてなのですが、当初はセッションでその情報を引き渡す?といった感覚で居たところ、上記のようにサーバ会社からの指導は『セッションではなくクッキーで!』という反面『通常のルートディレクトリからクッキーが読み込めなくなるのでクッキーはsecure属性にしないで』、『secure属性じゃないのでSSLのメリットがありません』といった内容です。 ちなみに、現在のファイル構成は、ログインや各フォームなどのファイルをsecureディレクトリに設置しており、httpとhttpsを跨ぐような構成になっております。 些か回りくどい説明になってしまいましたが、SSLの機能を保つためには、セッション、クッキー問わず、どのような流れが適当なのでしょうか?簡単な流れを含むヒントだけでも結構です。皆様のお知恵を頂戴できれば幸いに思います。宜しくお願い致します。

質問者が選んだベストアンサー

  • ベストアンサー
  • moon_night
  • ベストアンサー率32% (598/1831)
回答No.2

そのような場合は全てSSLをかけるべきです。 結局なりすまし防止のために、ページを遷移するたびにセッションコードやID/PASS情報を確認しなければいけないので、サーバとの通信が必要になってきます。 SSLでないと平文で送るので乗っ取られる危険性があります。 厳密にチェックしないのでしたら、ログイン時にセッションコードを発行してやり、それを使いまわせばいいでしょう。 セキュリティーをどの程度かけるかにもよってくる話になりますが、一般的な会員サイトはSSLがかかってない場合が多いです。 (登録だけSSLをかけている場合とか) サイトのセキュリティーポリシー次第ですが、安全にするには全てをSSLに入れたほうがいいです。 別に入れる必要がないものも入れてしまえばいいのです。 そのほうがサイトを作るのに面倒な問題が起こらない場合が多いので。

sadacha
質問者

お礼

moon_night様 こんばんは。引き続きのご回答を有難う御座います。 SSLに関し、当初考えていたことより奥が深く、構成の見直しを考えてみようかと思います。 (DBとの通信に関するところなど・・) 色々とありがとう御座いました。

その他の回答 (2)

  • ranuwe
  • ベストアンサー率33% (7/21)
回答No.3

SSL下でのsecure属性なしのcookie使用は外部への漏洩の可能性があり危険です。 SSLとSSL外のページでsecure属性付きのcookieとsecure属性なしのcookieの 2つを作って読み替える方法があるようです。

sadacha
質問者

お礼

ranuwe様 はじめまして、こんばんは。 貴重なご意見を有難う御座います。 SSLに接続するだけ・・と、平坦には行かないのですね。 アドバイスいただいた情報も、今後の視野に入れておこうと思います。 有難う御座いました。

  • moon_night
  • ベストアンサー率32% (598/1831)
回答No.1

TOPページはSSL無しの通常ページ ↓ ログインボタンを押してログインページ(SSL付き) とすればいいのではないでしょうか? (一般的な銀行のサイトなどを参考に) つまり、SSLから通常のページにはログイン情報を引き継がないという意味です。 SSL有りのページからSSL無しのページに引き継ぐ意味がよく分かりません。 サイト設計の問題のような気もします。

sadacha
質問者

お礼

moon_night様 お世話になっております。早速のアドバイスを有難う御座います。 yahoo!や、ここ教えて!Gooのように、一度ログインしたものはどのページ(マイページなど)へも移動出来るようしたく、個人情報などを扱うページやログインのときだけSSLを扱うように考えておりました。これもサイト設計に問題があるのでしょうか。 ログイン時など、サイトによっては情報を送信した時のみ、SSLを通過するような設定となっておりますが、この場合はどうしているの?など色々な角度から見ては居るものの、経験が乏しく、その情報のやり取りがつかめずに居る次第です。。

関連するQ&A

専門家に質問してみよう