- 締切済み
SSLに対応した送信フォームをつくるには?
hofuhofuの回答
- hofuhofu
- ベストアンサー率70% (336/476)
スクリプト混入問題についてはほとんど知らないですが、メール送信に関係あるのですか? 掲示板のように入力された内容をそのまま不特定多数に公開するのであれば、クロスサイドスクリプティングなどが起こりうるというのは理解できますが、メール送信フォームのように貴方か、送信した本人ぐらいしか見ないようなものであれば、それほど気にしなくてもいいような気がしますが。 PHPを使ったスクリプトがあったので載せておきます。 http://www.hotwired.co.jp/webmonkey/2000/20/index3a_page6.html こっちはGnuPG+Eudora(もう知ってますかね?) http://www.fkimura.com/pc-pgp0.html > 本文も含めた全体が暗号化されると 本文しか暗号されません。 メールのヘッダは途中のメールを経由するサーバーが読めないといけないですし、書き込めないといけないので暗号化できません。 送信自体はWebサーバーからになっているので、ヘッダに見られて困るようなデータも無いはずですけど(メールソフトを使って送られた場合は当人のメールアドレスやIPアドレスが載せられる)。 また、そのメールを読むときにPOP3を使った場合は、パスワードも漏れる可能性があります。 たとえ、そのパスワードを使ってメールを盗み見たとしても、暗号化されているので普通は読めないですが、セキュリティに気を使うのであればAPOPにしたほうがいいと思います。 > SSL化したといっても、サーバに個人情報を置くこと 受信した内容はWebサーバーがさっさと復号してしまっているので、そのまま保存すると平文のままで記録されてしまいます。 > 暗号化は途切れないといっている 上記のように、厳密にいうとWebサーバー上で一旦途切れます。 そのまますぐPGPで再度暗号化してしまえば、送受信は安全ですが、CGIが変な情報をサーバーに残さないように気をつけてくださいね。 ちなみにPGP=メールとすぐに繋げてしまいがちですが、PGPは汎用の暗号化ツールですのでファイルの暗号などもできます。 PGPで暗号化して、サーバー上に置いておき、SCPやSFTPなどでダウンロードするというのもいいと思います。 どうせ私有鍵(秘密鍵)が保存されたパソコンでしか読めないですし、メールで送ったところで今度はメールサーバーに個人情報がしばらく保存されることになるので。 Webサーバーとメールサーバー、どちらが攻撃を受けやすか、という問題はありますが。 メールソフトの自動受信の機能を使えば、データの取り込みは楽ですけどね。 > SCPは良いのですか? SSH(SCPやSFTP)にはRSA認証というのがあるので、下手なパスワードを使うよりよっぽど安全です(レンタルサーバーがそういう設定になっていればの話ですが)。 パスワードの代わりに公開鍵暗号方式の公開鍵を使う方法です。 「公開されている鍵」なので誰かがそれを使って侵入を試みることは可能ですが、最終的に認証を終えるには公開鍵と対になる私有鍵(秘密鍵)が必要になるので、侵入できません。 もちろんデータ自体の送受信も暗号化されています。
関連するQ&A
- SSLとPGPについて
レンタルサーバーを利用し運用しています。 自分のホームページから顧客がフォームメールを使い、住所や氏名を入力して問い合わせをする(クレジットカードなどお金に関わるモノはない)形をとっていますが、セキュリティについて疑問がありましたので、ご相談します。 上記のようなフォームメール送信の場合、セキュリティ対策としては、 顧客のパソコン→(SSL)→レンタルサーバ→(PGP)→私のパソコン というスタイルでいいんでしょうか。 顧客からの情報がレンタルサーバーで止まるようにすれば、SSLの部分だけで十分なのでしょうか。また、その操作は可能なのでしょうか。 一般的なメールソフト(Outlook Expressなど)でのメール送信は行わないので、PGPはいらないのではとも思います。 つまり、べりサインなどでCA取得し設定すれば、SSLのみでも対応できるのではと考えています。 初心者なもので、質問内容も的外れかも知れませんが、よろしくお願いします。
- 締切済み
- ネットワーク
- 問い合わせフォームをSSL対応させたい
HTMLに関しては素人以上の知識がありますが、プログラム言語やセキュリティに関しては全くの素人です。 現在サイトからの問い合わせフォームに入力された個人情報を含む情報がCGIによりメールで届くようになっているのですが、 これをきちんとSSL対応させたいと思い、認証局からの証明書は取得しました。レンタルサーバーを利用していますが、SSLには対応しています。 さてここからなのですが、このまま入力フォームのあるページに HTTPSからアクセスしてみたところで、入力された情報がメールで送信されるのでは サーバ→メーラー間の情報送信は暗号化されないのですよね。 いろいろ調べた結果、phpMyAdminを利用してデータベースを構築し、 フォームに入力されたデータをサーバー上のデータベースに格納、 WEBブラウザで管理画面に入りデータを閲覧する、という方法で これを実現するのが正解なのか、というのが自分の中での結論になりつつあります。 しかしそれを自分の力で解決するにはあまりに難しく非現実的そうです。 そこでお伺いしたいのですが、私のこの結論は考えすぎでしょうか? MacOSXでEntourageを使用しており、SSLのオン/オフが切り替えられるようなのですが、 これをオンにするだけで問題は解決されるのでしょうか。 (実際オンにしてもタイムアウトでメールは受信できなかったのですが) コストがかけられないのでなんとか自分の手で解決したいのですが、 調べていくうちに混乱してしまい途方に暮れています。 他にもっと簡単な方法があるとか、まずは何から勉強するのが良いのかなど、 どんなことでもいいのでアドバイスをいただければ幸いです。 サーバーシステムはLinuxでPHPのバージョンは4.4.1です。 よろしくお願いいたします。
- 締切済み
- ネットワーク
- PGPを組み込めるメール送信フォーム
Perlにてメール送信フォームをPGPを使って作りたいのですが技術的に可能ですか? また、作ったことのある方がいましたら作り方を教えてください。
- ベストアンサー
- CGI
- SSLでのフォームの入力について
現在、ホームページで非SSL通信でのフォームの入力をしています。そのフォームで入力した内容はメールで受信する形です。 これをSSLに対応させてフォームの入力をさせる予定です。 このような場合もメール受信して到着するまでは暗号化されているものなのでしょか? すみません、シロートな質問で。 ちなみに ホームページはホスティングを利用して、SSLの手続きは、ホスティングの会社が登録代行と証明書の発行まで済んでおります。
- ベストアンサー
- ネットワーク
- SSLはページとメールフォームCGIどちらもSSL対応に?
SSLを導入したいと考えております。 ・注文ページとなるHTMLファイル(ページ) ・メールフォームCGI(送信データがサーバに蓄積されるタイプ) ページもCGIもどちらもSSL領域に置く必要があるのでしょうか? それとも、 ページだけSSL領域におけばいい、 CGIだけSSL領域におけばいい、 ということなのでしょうか? 教えていただけると幸いです。 よろしくお願いします。
- ベストアンサー
- HTML
- SSL対応のメールフォームを作成するのに必要な知識
SSLを使ったメールフォームを作成したいと考えていますが、今までSSLは見て見ぬフリしてきたもので、よく分かりません。 まず、メールフォームを設置するサーバはSSL対応のサーバです。そこに、住所・氏名等を入力してもらうメールフォームを置きたいと考えています。私はまず何をすればいいんでしょうか? セキュリティ面はもちろん、ユーザーの安心感のためにもベリサインを使いたいんですが、値段がイマイチ分からないので、あまりに高額な場合はOpenSSLにしようと思っています。 メールフォームは、メール送信と同時に、サーバ上のCSVファイルにログを書き込む形にしたいと考えています。 以上の事を踏まえて、どなたか詳しい方、アホにも分かるように教えていただけないでしょうか。SSLを使う場合のメールフォームも、お勧めのプログラムがあればお願いします。
- ベストアンサー
- ネットワーク
- SSL対応のお問い合わせフォームで問い合わせを受ける場合、その問い合わ
SSL対応のお問い合わせフォームで問い合わせを受ける場合、その問い合わせ内容をメールで受信する場合、内容は暗号化されるのですか? 初歩的な質問ですみません。 会社サイトを運営していて、お客様のお問い合わせ内容と個人情報を通常のメーラーで受信する方法にするとSSLを使っている意味がなくなってしまうのでしょうか?
- 締切済み
- その他(メールサービス・ソフト)
- メールフォームを作成しましたがうまく送信できません。
こんにちは。 メールフォームを作ったのですが、上手く送信できません。 「このフォームは電子メールを使って送信されています。このフォームを送信すると、電子メールアドレスが受信者に公開され、フォームのデータが暗号化されずに送信されます。このフォームは続行することもできますが、取り消す事もできます。」と出てきます。 メッセージは出てもかまわないと思いますが、なんとか送信できるようにする方法を教えてください。 もしもフォームだけ作成し公開できるサイトなどもありましたら教えてください。 どうぞよろしくお願いします。 使ったソフト:「ホームページNinja2003」(他のソフトでも同様な結果)(ちなみに「メールフォーム機能だけでなくフォーム機能も使ってみました。)
- ベストアンサー
- レンタルサーバ・ASP
- メールフォームでのメール送信
メールフォームによる送信について教えてください。 ホームページを閲覧したとき、そのホームページに設置されているメールフォームを利用してメールを送信することがよくあります。 あとになって、どこにどんなメールを送信したかを忘れてしまうことがあるのですが、自分のパソコンでそれを調べることはできないでしょうか。 また、送信先ではこちらが書き込まなければメールアドレスの情報は受信されないのでしょうか。
- ベストアンサー
- その他(インターネット接続・通信)
お礼
締め切ります。有難うございました。
補足
hofuhofu様、詳細に有難うございます。 「スクリプト混入問題についてはほとんど知らないですが、メール送信に関係あるのか?」ということですが、自社サイトの商品注文フォームや問い合わせフォームにて、入力するお客様に対し、XSS等に代表されるスクリプト混入問題が起きる可能性をなるべく払拭したいと考えております。メール送信時でなくフォーム入力時にスクリプト混入問題が発生すると聞いています。 私も最初はここまで要るのか?と思っていたのですが、以前このサイトで専門家の方から「SSL導入して保護をアピールするのならなおのこと必要」とご指摘がありまして、調べていっても必要性が感じられてきた経緯です。 それとも何か間違っているのでしょうか? またこれに付随しますが「送信した本人ぐらいしか見ないようなもの」ということですが、利用する全てのお客様に対して上記問題の可能性があるのならば、ここまで対応したものにしないといけないのだろうと思っていました。 悪意ある人が当該サイトを選び取ることは稀だとは思いますが、個人情報の保護に努めていると訴え、SSLも導入していますとアピールしていながらこの辺りの対策を講じていないことが、業界の常識でみて道にはずれないものかと思っています。 実際のところは不要なのでしょうか? PHPのスクリプトは参考になります。有難うございます。 GnuPG+Eudoraは既におこなっておりますが、有難いことです。 要はhofuhofu様のアドバイスとしては最良なのは、PGPでサーバ保存、SCPでDLという方法と受け取って良いのでしょうか。 利用しているレンタルサーバではSSHのマルチアクセスが可能になっているようですが。