フォームのセキュリティについて
- Webサイトのフォームに個人情報を送信する際のセキュリティ対策について質問です。
- SSLでフォームを保護し、CGIを利用してデータを格納する方法と、メールで送信する方法が考えられますが、それぞれのリスクや改善案を知りたいです。
- 個人情報が安全に送信されるフォームのセキュリティ対策について教えてください。
- ベストアンサー
フォームのセキュリティについて
いつもお世話になっております。 某社の共用レンタルサーバでWebサイトを運営しておりますが、この度、希望するお客様に紙媒体のDMを送るため、送付先の情報をうかがうフォームを設置しようと思っております。 クレジットカード等の情報は一切なく、氏名・性別・住所・メールアドレス・年齢あたりの個人情報を書いていただく予定です。 そこで質問いたしますが、こういったような個人情報が送信されるフォームのセキュリティはどのように行えばいいのでしょうか。 現在、考えているのはサーバがSSL対応、ということで2通りあります。 1.フォームをSSLで保護されている場所に置き、CGI(Perlで書かれたもの)を利用し、データ格納用ファイルに書き込みをする。データ格納用ファイルはCGIより下の階層等に置き、htaccessの認証を設定しておく。なお、データ格納ファイルは24時間に1度、会社のPCにダウンロードし、空ファイルに更新する。 2.フォームをSSLで保護されているディレクトリに置き、CGIを通して管理者のメールアドレスに内容を送信する。 1は24時間とはいえ、サーバにデータが置かれているので心配になっておりますが、かといって2はメール送信時に読みとられる可能性があるような気もします。 ただ、私の知識ですとこれくらいが限界ですので、何か良い案、修正案などがありましたら、教えていただきたいと思います。 よろしくお願いします。
- dai-39
- お礼率64% (71/110)
- ネットワーク
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
システムがよくわからないのですが、どこまでがセキュアなのかが判断の分かれ目になります。サーバをクラックされる危険性のあるシステムでは重要な情報を置くわけにはいきませんし、顧客情報を収集することも躊躇されます。メール送受信のサーバや経路は信頼おける業者に依存し、そしてメール本体の暗号化も行うのでしょうか。そうでないならばメールの送信も危険です。会社のPCから定期的にサーバに向けてセキュアな方法たとえばVPN やsftpを使ってダウンロードする方が優れているといえます。いずれの場所・方法でも暗号化がカギになるはずです。
その他の回答 (1)
- nta
- ベストアンサー率78% (1525/1942)
データをサーバに暗号化して保存すればいいのではありませんか。
関連するQ&A
- PHPフォームでのセキュリティ
PHP初心者です。 メールフォームを作成して出来たものをサーバにアップし、 テストメールを送ろうとしたところ、 「yahooツールバー個人情報送信時の確認」 「送信する情報は暗号化によって保護されていません。送信しますか?」 と警告がでます。 警告が出ないようにするには、サーバー側で何かすれば良いのでしょうか?それともphpファイルの何か記述するのでしょうか? ちなみに、そのサーバーでCGIのメールフォームでは、そのような警告は出ません。 もう一つお聞きしたいのですが、サーバー側の文字コードの確認はどのようにしたら分るのでしょうか? メールフォームで入力した受信メールがサーバーによって文字化けするので。 駄文で申し訳ございませんが、困っておりますので宜しくお願い致します。
- 締切済み
- PHP
- フォームメールでのセキュリティについて
HPでフォームを使用し、sendmailを使って、記入された内容を送信していますが、セキュリティ対策をどうしたらいいのかよく分かりません。 セキュリティ対策としてはよくSSLという言葉を聞きますが、SSLを使えばメールサーバーまで暗号化されたデータを送ることができるのでしょうか。 また、メールサーバからPCにデータ受信する際には第三者からデータを読み取られることはないのでしょうか。
- ベストアンサー
- ネットワーク
- SSLはページとメールフォームCGIどちらもSSL対応に?
SSLを導入したいと考えております。 ・注文ページとなるHTMLファイル(ページ) ・メールフォームCGI(送信データがサーバに蓄積されるタイプ) ページもCGIもどちらもSSL領域に置く必要があるのでしょうか? それとも、 ページだけSSL領域におけばいい、 CGIだけSSL領域におけばいい、 ということなのでしょうか? 教えていただけると幸いです。 よろしくお願いします。
- ベストアンサー
- HTML
- セキュリティを考慮したメールフォーム
クレジットカードの情報をフォームからメールで受け取るプログラムを作りたいのですが、セキュリティを相当考慮しなければならないと思います。 普通のメールフォームはPHP、JSP、CGIでそれぞれ作ることが出来、どの言語で実現しても良いと思っていますが、セキュリティについてはあまり知りません。 情報送信部はSSLを用いるとして、普通のsendmailなどを使ったメールフォームではかなり問題があるでしょうか。何か気をつけることはありますか? 慎重なセキュリティが求められますが、企業などではどのような方法が使われているのでしょうか?やはり、セキュアサーバを立ててSQLでDB保存でしょうか? そこまでする余裕もないので、もし個人で作るのが難しい場合、無料でソースを公開・配布しているようなページを紹介頂けると嬉しいです。 英語でも構いません。よろしくお願いします。
- ベストアンサー
- PHP
- フォームcgiでハッキング?!
個人のHPで、OCN<PageON>のcgiで 入力フォームを作成したいと思っている所です。 所が、知人からSSL未対応のフォームに個人情報を入力したら、 ウィルスメールが大量に届いたと聞きました。 そんな話を聞くと、怖くてcgiも利用できません。 HPでは本名やメールアドレス、住所、後は注文数量の入力を考えています。 ある程度の情報が漏洩してしまうのは、 ユーザーのメールから送信するフォームでも cgiを利用しても大差は無いんじゃないかと 個人的に思っていますが・・・。 (まずいと知りつつWEB受注しようとしている私も問題かもしれません) SSL利用以外に、何か良い対策(埋め込み記述)や アドバイスありましたらご回答下さい。 皆様宜しくお願い致します。
- ベストアンサー
- ウィルス・マルウェア
- 問い合わせフォームをSSL対応させたい
HTMLに関しては素人以上の知識がありますが、プログラム言語やセキュリティに関しては全くの素人です。 現在サイトからの問い合わせフォームに入力された個人情報を含む情報がCGIによりメールで届くようになっているのですが、 これをきちんとSSL対応させたいと思い、認証局からの証明書は取得しました。レンタルサーバーを利用していますが、SSLには対応しています。 さてここからなのですが、このまま入力フォームのあるページに HTTPSからアクセスしてみたところで、入力された情報がメールで送信されるのでは サーバ→メーラー間の情報送信は暗号化されないのですよね。 いろいろ調べた結果、phpMyAdminを利用してデータベースを構築し、 フォームに入力されたデータをサーバー上のデータベースに格納、 WEBブラウザで管理画面に入りデータを閲覧する、という方法で これを実現するのが正解なのか、というのが自分の中での結論になりつつあります。 しかしそれを自分の力で解決するにはあまりに難しく非現実的そうです。 そこでお伺いしたいのですが、私のこの結論は考えすぎでしょうか? MacOSXでEntourageを使用しており、SSLのオン/オフが切り替えられるようなのですが、 これをオンにするだけで問題は解決されるのでしょうか。 (実際オンにしてもタイムアウトでメールは受信できなかったのですが) コストがかけられないのでなんとか自分の手で解決したいのですが、 調べていくうちに混乱してしまい途方に暮れています。 他にもっと簡単な方法があるとか、まずは何から勉強するのが良いのかなど、 どんなことでもいいのでアドバイスをいただければ幸いです。 サーバーシステムはLinuxでPHPのバージョンは4.4.1です。 よろしくお願いいたします。
- 締切済み
- ネットワーク
- どうやったらフリーCGIメールフォームにSSLをかけられますか?
当方、初心者です。 会社の都合で、独学で学びながら ホームページを作成するハメになってしまいまして、 毎回ネットや本で調べたりしながら、 今迄いくつかのホームページ (HTMLにフリーCGIを組み合わせた簡素なもの)を作ってきました。 しかし今回作るホームページにはSSLが必要で、 どうして良いのやらさっぱりわからず…。 知識がなく、見当違いなことを書いているかもしれませんが、 どうぞ宜しくお願いします。 これから作成するホームページに メールフォーム(フリーのCGIです)をつけるのですが、 個人情報をやりとりするメールフォームなので、 SSLをかけねばと思っております。が、 SSL証明書の取得や、SSLの組み込み方など全くわかりません。 そこで、SSL付きのレンタルサーバーを借りようと 考えているのですが…。以下、疑問点をまとめてみました。 1)SSL付きのレンタルサーバーを借り、 フリーCGIで出来ているメールフォームに SSLを掛けることは可能でしょうか? サーバーにもよると思いますが、 だいたい、どのような手順になるのでしょうか? 1)レンタルサーバーは、 出来るだけメジャーなところに決めたいと思っています。 が、一体どこが有名どころなのか、全くわかりません。 おすすめのサーバーがありましたら お教え願えませんでしょうか? 以上、どうぞよろしくお願いいたします。
- 締切済み
- CGI
- CGIを使わないフォームメール
CGI使用不可のWebサーバーにフォームメールを作成しました。HTMLで <FORM ACTION="mailto:送信先メールアドレス" METHOD="POST"> としたものです。 これを使うと 1.送信ボタンを押したら、「このフォームを送信すると、電子メールアドレスが受信者に公開され、フォームのデータが暗号化されずに送信されます。この送信は続行することもできますが、取り消すこともできます。」という非常に物騒なメッセージがでる。 2.受信した時の件名が「Microsoft Internet Explorer から投稿されたフォーム」となり件名を指定できない。 3.受信データがPOSTDATA.ATTという添付ファイルになり、内容がエンコードされたバイトコードでデコードしないと内容が読めない。 CGIを使ってSendmailで送信させればいいじゃないの・・・と思うでしょうが、ISPがCGI使用不可なのです。HTMLフォームで先の1~3が改善される方法はないでしょうか。
- 締切済み
- HTML
- SSLでメールフォーム
メールフォーム入力画面でSSLを使用したいと思っています。SSLはレンタルサーバの共有SSLを使用します。SSLの対応にはメールフォームのプログラム(CGI)がSSLに対応していないとダメなのでしょうか? メールフォームは有料cgiを使っています。
- ベストアンサー
- CGI
お礼
回答ありがとうございました。 参考URLも拝見しましたが、一つだけ不安が残ります。 個人的な感覚で申し訳ないのですが、自分としては24時間の間とは言え、 「サーバに情報を置いておく」ということに不安が残ります。 (勿論、メールも受信しなければ情報がサーバにあるわけですが・・・) それでもやはり、サーバに保存した方がいいのでしょうか・・・。