- 締切済み
SSLに対応した送信フォームをつくるには?
hofuhofuの回答
- hofuhofu
- ベストアンサー率70% (336/476)
> 実際のところは不要なのでしょうか? どんなにスクリプトが混入したところで、第三者(貴方と入力した当人以外)にそれを見せなければ、あまり関係ないような気がしたものですから。 詳しいことは知らないので、あまり無責任なことを言うのはやめておきます。 実際、ECサイトでも対策は必要と書かれたサイトもあったので(どうやってやるかは知りませんけど)。 PHPだとhtmlspecialcharsという関数があるので、これで基本的な攻撃は防げると思います。 あとは本でも読みながら危険そうな文字・文字列を排斥していけばいいでしょう。 突き詰めていけば、カード決済なら入力されるデータはある程度定型のものでしょうから、最終的には「これ以外駄目」というような形になると思います(たとえば電話番号なら数字以外は非許可にするとか)。 このあたりの処理は単なる文字列処理なので、どの言語が安全とかいうのは無いですね。 安全なものができるかどうかは、プログラマの腕次第です。 > PGPでサーバ保存、SCPでDLという方法と受け取って良いのでしょうか 何か前の回答ではSCPびいきになってしまいましたね。 確かにメールを介した場合のほうがWebサーバにそのまま保存するより盗聴される可能性は高いですが、メール自体は暗号化されている以上、盗聴されたところで読めないので安全なはずです。 それにメールサーバーよりもWebサーバーの方が人の目につきやすいですし、多機能になっているせいでセキュリティホールもできやすい傾向にはあります。 このあたりはレンタル業者の責任ですし、Webサーバへの侵入となると暗号化やXSS以前の問題になってしまいますけど。 色々書きましたが、個人的にはどちらでもいいと思います。 一応のセキュリティはPGPで確保できていますし、PGPの最大の強みは盗み見られても正当な受取人以外は読めない、というところですから。 ECに使うのであれば、少し長めの鍵長にしておいたほうがいいでしょうけど。 SSHによる暗号化はせいぜい駄目押し程度ですね。 二重に暗号化しているだけですし、PGPだけでも普通はまず解読できないです。
関連するQ&A
- SSLとPGPについて
レンタルサーバーを利用し運用しています。 自分のホームページから顧客がフォームメールを使い、住所や氏名を入力して問い合わせをする(クレジットカードなどお金に関わるモノはない)形をとっていますが、セキュリティについて疑問がありましたので、ご相談します。 上記のようなフォームメール送信の場合、セキュリティ対策としては、 顧客のパソコン→(SSL)→レンタルサーバ→(PGP)→私のパソコン というスタイルでいいんでしょうか。 顧客からの情報がレンタルサーバーで止まるようにすれば、SSLの部分だけで十分なのでしょうか。また、その操作は可能なのでしょうか。 一般的なメールソフト(Outlook Expressなど)でのメール送信は行わないので、PGPはいらないのではとも思います。 つまり、べりサインなどでCA取得し設定すれば、SSLのみでも対応できるのではと考えています。 初心者なもので、質問内容も的外れかも知れませんが、よろしくお願いします。
- 締切済み
- ネットワーク
- 問い合わせフォームをSSL対応させたい
HTMLに関しては素人以上の知識がありますが、プログラム言語やセキュリティに関しては全くの素人です。 現在サイトからの問い合わせフォームに入力された個人情報を含む情報がCGIによりメールで届くようになっているのですが、 これをきちんとSSL対応させたいと思い、認証局からの証明書は取得しました。レンタルサーバーを利用していますが、SSLには対応しています。 さてここからなのですが、このまま入力フォームのあるページに HTTPSからアクセスしてみたところで、入力された情報がメールで送信されるのでは サーバ→メーラー間の情報送信は暗号化されないのですよね。 いろいろ調べた結果、phpMyAdminを利用してデータベースを構築し、 フォームに入力されたデータをサーバー上のデータベースに格納、 WEBブラウザで管理画面に入りデータを閲覧する、という方法で これを実現するのが正解なのか、というのが自分の中での結論になりつつあります。 しかしそれを自分の力で解決するにはあまりに難しく非現実的そうです。 そこでお伺いしたいのですが、私のこの結論は考えすぎでしょうか? MacOSXでEntourageを使用しており、SSLのオン/オフが切り替えられるようなのですが、 これをオンにするだけで問題は解決されるのでしょうか。 (実際オンにしてもタイムアウトでメールは受信できなかったのですが) コストがかけられないのでなんとか自分の手で解決したいのですが、 調べていくうちに混乱してしまい途方に暮れています。 他にもっと簡単な方法があるとか、まずは何から勉強するのが良いのかなど、 どんなことでもいいのでアドバイスをいただければ幸いです。 サーバーシステムはLinuxでPHPのバージョンは4.4.1です。 よろしくお願いいたします。
- 締切済み
- ネットワーク
- PGPを組み込めるメール送信フォーム
Perlにてメール送信フォームをPGPを使って作りたいのですが技術的に可能ですか? また、作ったことのある方がいましたら作り方を教えてください。
- ベストアンサー
- CGI
- SSLでのフォームの入力について
現在、ホームページで非SSL通信でのフォームの入力をしています。そのフォームで入力した内容はメールで受信する形です。 これをSSLに対応させてフォームの入力をさせる予定です。 このような場合もメール受信して到着するまでは暗号化されているものなのでしょか? すみません、シロートな質問で。 ちなみに ホームページはホスティングを利用して、SSLの手続きは、ホスティングの会社が登録代行と証明書の発行まで済んでおります。
- ベストアンサー
- ネットワーク
- SSLはページとメールフォームCGIどちらもSSL対応に?
SSLを導入したいと考えております。 ・注文ページとなるHTMLファイル(ページ) ・メールフォームCGI(送信データがサーバに蓄積されるタイプ) ページもCGIもどちらもSSL領域に置く必要があるのでしょうか? それとも、 ページだけSSL領域におけばいい、 CGIだけSSL領域におけばいい、 ということなのでしょうか? 教えていただけると幸いです。 よろしくお願いします。
- ベストアンサー
- HTML
- SSL対応のメールフォームを作成するのに必要な知識
SSLを使ったメールフォームを作成したいと考えていますが、今までSSLは見て見ぬフリしてきたもので、よく分かりません。 まず、メールフォームを設置するサーバはSSL対応のサーバです。そこに、住所・氏名等を入力してもらうメールフォームを置きたいと考えています。私はまず何をすればいいんでしょうか? セキュリティ面はもちろん、ユーザーの安心感のためにもベリサインを使いたいんですが、値段がイマイチ分からないので、あまりに高額な場合はOpenSSLにしようと思っています。 メールフォームは、メール送信と同時に、サーバ上のCSVファイルにログを書き込む形にしたいと考えています。 以上の事を踏まえて、どなたか詳しい方、アホにも分かるように教えていただけないでしょうか。SSLを使う場合のメールフォームも、お勧めのプログラムがあればお願いします。
- ベストアンサー
- ネットワーク
- SSL対応のお問い合わせフォームで問い合わせを受ける場合、その問い合わ
SSL対応のお問い合わせフォームで問い合わせを受ける場合、その問い合わせ内容をメールで受信する場合、内容は暗号化されるのですか? 初歩的な質問ですみません。 会社サイトを運営していて、お客様のお問い合わせ内容と個人情報を通常のメーラーで受信する方法にするとSSLを使っている意味がなくなってしまうのでしょうか?
- 締切済み
- その他(メールサービス・ソフト)
- メールフォームを作成しましたがうまく送信できません。
こんにちは。 メールフォームを作ったのですが、上手く送信できません。 「このフォームは電子メールを使って送信されています。このフォームを送信すると、電子メールアドレスが受信者に公開され、フォームのデータが暗号化されずに送信されます。このフォームは続行することもできますが、取り消す事もできます。」と出てきます。 メッセージは出てもかまわないと思いますが、なんとか送信できるようにする方法を教えてください。 もしもフォームだけ作成し公開できるサイトなどもありましたら教えてください。 どうぞよろしくお願いします。 使ったソフト:「ホームページNinja2003」(他のソフトでも同様な結果)(ちなみに「メールフォーム機能だけでなくフォーム機能も使ってみました。)
- ベストアンサー
- レンタルサーバ・ASP
- メールフォームでのメール送信
メールフォームによる送信について教えてください。 ホームページを閲覧したとき、そのホームページに設置されているメールフォームを利用してメールを送信することがよくあります。 あとになって、どこにどんなメールを送信したかを忘れてしまうことがあるのですが、自分のパソコンでそれを調べることはできないでしょうか。 また、送信先ではこちらが書き込まなければメールアドレスの情報は受信されないのでしょうか。
- ベストアンサー
- その他(インターネット接続・通信)
お礼
hofuhofu様、毎度有難うございます。助かっています。 いまいち補足とお礼の選別の理解が出来ていませんが、お礼をお伝えしたいので今回はこちらへ記載しました。 そうですね、プログラミングの腕次第で安全なものができるかどうかは分かれてきますでしょうね。 ただ、PHPは他のことも考えてもPHPは良いなと感じています。基本的な攻撃を防げる関数ああるとこころは良いですね。 結果までの方法についてのアドバイスも了解いたしました。有難いです。 あとはスクリプト混入問題への対策をどの程度すれば、専門家がおこなうべきレベルくらいのものが出来るか?というのが未だ判断出来ない状況です。 別にメインの仕事があるので毎日少しづつでも調べ続けないといけないです。 そしてもうひとつはスクリプト混入問題を考慮し、PGP化して渡す最適なプログラミングと、その教本探しです。 まだまだ道が遠い気が・・・(笑)。