- ベストアンサー
個人サイトで出来る送信フォームのセキュリティについて
個人でアクセサリを作成している知人から相談を受けました。 これからレンタルサーバ(共有Webスペース提供)と契約し、Webサイトを作って注文を受けたいのだそうですが、商品の送付先をフォームから送信してもらう時にセキュリティについて不安を覚えたそうです。 企業レベルでしたら、SSLを使ったりすればある程度までは確保できるとは思いますが、費用等を考えるとなかなか、そこまですぐには出来ないようです。 そこでお伺いしたいのですが、SSL等、初期費用が高額な方法を避け、かつスタンダードなレンタルサーバで可能なかぎり、送信フォームのセキュリティを確保するにはどのような手段があるでしょうか。 そもそも無理である、という回答もアリですが、出来れば実用的な方法をうかがえると嬉しいです。 よろしくお願いいたします。
- dai-39
- お礼率64% (71/110)
- ネットワーク
- 回答数4
- ありがとう数3
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
こんばんは。わたしも以前似たような悩みを持っていました。 SSLを使ったりすればある程度までは確保できるとは思いますが、費用等を考えるとなかなか、そこまですぐには出来ないようです。 ベリサイン社などの認証サービス企業のサイト証明を使用したSSL接続のことを前提にされているのだと思いますが、SSLはなにも自分で直接ベリサイン社などと契約しなくても、レンタルサーバによってはSSLのサービスを利用できるところもあります。月何千円とか、普通のレンタルサーバの料金で大丈夫です。(ちゃんと鍵のマークも表示されますよ。) 以前、私も同じような状況でしたので自分で相当調べたのですが、参考になるサイトのURL、見あたらなくなってしまいましたが、一応いまひとつだけGoogleで調べましたので、記入しておきます。下記ページのキーワード欄にSSLと入れて検索するだけで38件出てきました。
その他の回答 (3)
- sato9
- ベストアンサー率0% (0/3)
私もそういう悩みを持っておりました。転送量制限がきついレンタルサーバですが、私は大納得のサーバです。お陰でサクサク見れます。 ただ、詳しい方は高いセキュリティの活用が出来ると思いますが、SSLがないよりはマシということで、使っています。サーバへのメール受け取りだけはSSLが効いていません。でも、これも解決策は用意してあるようです。私には難しいシステムなので使えませんが(笑)
- 参考URL:
- http://tsubomi.co.jp/
- ru-coco
- ベストアンサー率25% (3/12)
こちらのサイトはいかがでしょうか? 登録店舗も多いみたいですよ・・
こんばんは。 なるべく安くあげたいと言う気持ちはわからないでもないのですが、いくら個人でも商売をすることには変わりないわけですから、あえて率直に書きますね。 >>そもそも無理である、という回答もアリですが、出来れば実用的な方法をうかがえると嬉しいです。 ↓ おっしゃるとおり、無理があります。 「ネットでの無店舗商売」というと、なにやら手軽に始められるようなイメージがあると思いますが、お話のケースでは、売買契約が発生する”商売”をすることには変わりありませんので、「個人だからそこそこのセキュリティーでよい。」という意識は許されません。 どんなに小規模な商売でも、きちんとした事業計画を立てなければトラブルの可能性が大きくなってしまいます。 Webベースの商売では、セキュリティー対策だけをとってみても、このような掲示板上で「ちょこっとヒントをもらえば済むようなもの。」ではありません。 送付先の住所などの個人情報もそうですが、クレジット決済の有無や、扱う情報の内容によって、セキュリティー設計は大きく変わってしまうからです。(他にも考慮すべき点が多いと言う意味です。) 商売を行うからには、「誰の責任で何をどれくらい守るのか。」と言うこと(セキュリティー・ポリシー)を明確にして、客に提示しなければ信用が得られるはずがありません。 特にクレジットカードなどによるオンライン決済を行う場合は、どんなに小規模だろうと、結果としてSSLは必須となるはずです。(共有Webならなおさら必要ですし、それなりの料金で実現できるはずです。) ただし、SSLによる暗号化は、あくまで「客とWebアプリケーション(サイト)の間」でしか有効ではありません。(あくまで有効なセキュリティー対策を構成するパーツに過ぎません。) サイト上での注文と決済完了までの情報はSSLで守れたとしても、入力フォームのデータを暗号化せずに電子メールで受信しようとしてしまえば、効果半減です。 現状の電子メールの仕様は”平文送信”(誰にでも簡単に読める形式)が基本だからです。 単にSSLを使っただけでは、”十分に安全”(個人情報の保護に対して)というレベルにはなりません。 昨今よく指摘されている「Webアプリケーションのセキュリティー・ホールによる個人情報漏洩」など、さまざまな問題点を潰しておかなければなりません。(掲示板レベルのやり取りでは到底無理と言った理由の一つがこの部分です。) オンライン決済を行わない場合は、たしかにセキュリティー対策にかかる経費を軽減することができる可能性が高いでしょうが、具体的な手法については、当事者同士が協議していきながら決めるベきことだと思います。 こうした悩み(リスク)をクリアしながら比較的手軽に商売を始めるために、出店料を払う形式での「オンライン・アーケードの利用」と言う方法もあると思います。 出店料という経費はかかりますが、上記のような懸案をある程度クリアした受け皿を提供していることを条件に、小規模なものを選び出店料の安さを優先したり、大手を選び知名度(アクセス数)を優先するという選択も可能だと思います。(この手の業者はネット上にいくらでもありますよね。) もちろん、技術的には自前のサーバーやレンタルサーバーを利用しての商売で”安く”セキュリティーを向上させることは可能です。 しかしそのためには、「詳細な計画とシステム設計」+「十分な知識をもった管理者」という要素が必須となります。 要するに、リスク軽減のために経費(金)をかけるか、金をかけずに手間をかけるか(人件費という経費はかかりますが…)という単純な問題に行き着くという面では、個人も大企業も同じだといえると思います。 せっかく「チャレンジしよう!」という気持ちになられている方に対して、なにやら苦言じみた内容ばかりを書いてしまったかも知れませんが、少しでも参考にしていただきたいと思い、書き込んでみました。 以上、長文で直接回答になっていない部も多く、恐縮です。 それでは。
関連するQ&A
- フォームのセキュリティについて
いつもお世話になっております。 某社の共用レンタルサーバでWebサイトを運営しておりますが、この度、希望するお客様に紙媒体のDMを送るため、送付先の情報をうかがうフォームを設置しようと思っております。 クレジットカード等の情報は一切なく、氏名・性別・住所・メールアドレス・年齢あたりの個人情報を書いていただく予定です。 そこで質問いたしますが、こういったような個人情報が送信されるフォームのセキュリティはどのように行えばいいのでしょうか。 現在、考えているのはサーバがSSL対応、ということで2通りあります。 1.フォームをSSLで保護されている場所に置き、CGI(Perlで書かれたもの)を利用し、データ格納用ファイルに書き込みをする。データ格納用ファイルはCGIより下の階層等に置き、htaccessの認証を設定しておく。なお、データ格納ファイルは24時間に1度、会社のPCにダウンロードし、空ファイルに更新する。 2.フォームをSSLで保護されているディレクトリに置き、CGIを通して管理者のメールアドレスに内容を送信する。 1は24時間とはいえ、サーバにデータが置かれているので心配になっておりますが、かといって2はメール送信時に読みとられる可能性があるような気もします。 ただ、私の知識ですとこれくらいが限界ですので、何か良い案、修正案などがありましたら、教えていただきたいと思います。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- WEBサイトのフォーム作成で送信情報を保護したい
お問合せフォームを作成し、postで送信してもらいます. サーバは受け取るとsendmailを起動しWEB管理者や受付担当者にメールを送信します. (問合せしたフォーム送信者にもWEB管理者を送信元にして控えを送信します.) この流れにおいて全てのプロセスでSSLは有効でしょうか? 特にサーバが起動して送信するメールにもSSLが有効となるのか疑問に思いました. SSLが有効なのはhttpのプロトコルによるサーバとクライアントの間の送受信時のみと思っているのですが、考え違いはないでしょうか? また、サーバが送信するメールにSSLが効かないとすると、保護する方法はありますでしょうか?
- 締切済み
- PHP
- httpsページ内のフォームから送信のセキュリティ
WebサイトをSSL化してhttpsの表示をするようにしましたが、サイト内にあるお客様が入力する申込みフォームの送信についても、https後はSSL暗号化された通信がなされているという理解でよろしいでしょうか。
- ベストアンサー
- セキュリティ対策
- フォームメールでのセキュリティについて
HPでフォームを使用し、sendmailを使って、記入された内容を送信していますが、セキュリティ対策をどうしたらいいのかよく分かりません。 セキュリティ対策としてはよくSSLという言葉を聞きますが、SSLを使えばメールサーバーまで暗号化されたデータを送ることができるのでしょうか。 また、メールサーバからPCにデータ受信する際には第三者からデータを読み取られることはないのでしょうか。
- ベストアンサー
- ネットワーク
- Servlet & セキュリティ(SSL)
Servletのシステムをつくります。 そこで、ログイン画面として、 ユーザIDとパスワードを入力させて OKなら、システム利用ができるように します。 セキュリティ確保のためパスワード入力画面は、 SSL化しようと思っています。 調べると、WebサーバにSSL化を図れば いいのかな?と思いました。 使用するのは以下のとおりです。 [サーバ側] Redhat7.2 Tomcat3.2.1 もしかしたらApache使うかもしれません。 今のところTomcatをWebサーバにしてますが。 ApacheもTomcatもSSL化できるようですが、 どちらがスタンダードなのでしょうか? また、利点等ご存知でしたら教えていただき たいのですが、よろしくお願いします。
- ベストアンサー
- Java
- セキュリティを考慮したメールフォーム
クレジットカードの情報をフォームからメールで受け取るプログラムを作りたいのですが、セキュリティを相当考慮しなければならないと思います。 普通のメールフォームはPHP、JSP、CGIでそれぞれ作ることが出来、どの言語で実現しても良いと思っていますが、セキュリティについてはあまり知りません。 情報送信部はSSLを用いるとして、普通のsendmailなどを使ったメールフォームではかなり問題があるでしょうか。何か気をつけることはありますか? 慎重なセキュリティが求められますが、企業などではどのような方法が使われているのでしょうか?やはり、セキュアサーバを立ててSQLでDB保存でしょうか? そこまでする余裕もないので、もし個人で作るのが難しい場合、無料でソースを公開・配布しているようなページを紹介頂けると嬉しいです。 英語でも構いません。よろしくお願いします。
- ベストアンサー
- PHP
- Webサイトで個人情報を収集する場合の体制づくりについて
Webサイトで色んな類いの個人情報取得の場面がありますが、2008年現在において、どこまでのことをしておけば良いものでしょうか。 自社サイトをリニューアルしようとしていますが、どこまでのセキュリティにすれば良いのか検討しており、いくつか質問させて頂きたく投稿いたします。 現在やろうとしているのは以下です。 ●個人情報送信エリアのSSL化(企業認証するタイプの証明書) ●送信されたデータはデータベースサーバへ保存する ●ユーザーから何か送信があったことだけを知らせる担当者へのメール通達。 送信内容は管理者用URLへログインしてWebメール式でしか閲覧・返信が不可。 ●全ての入力フォームがある画面について、脆弱性を突く入力送信への対処をWebアプリケーション側でやっておく(XXS、CSRF、SQLインジェクション、バッファーオーバーフロー等) ●サーバのOSのパッチあてを毎回おこなう(できればサーバ業者にさせる) ●データベースのバックアップを一週間に一度程度は自動化で取るようにする ●サーバは自社ドメインだけが入っているレンタルの専用サーバ ●サーバはFirewallが外部機器としてあるタイプにする(サーバ内のソフト型ではなく) 質問[1] :データベースサーバをWebサーバと別にしていることはアピールになり得ますか? レンタル共用サーバ、レンタル専用サーバのほとんどはサーバはひとつだけで、Webサーバとデータベースサーバが同じサーバに入っていますが、セキュリティを高くしようとすればデータベースサーバは独立して用意すべきだと思います。 しかし、別にすることがどの程度のアドバンテージになるのかがわからずにおります。 「弊社サイトのデータベースサーバはセキュリティが○○○○○となるほど高くさせるために、Webサーバとは別個に用意しております。 多くはセキュリティの低いWebサーバとデータベースサーバが一体となっているサーバで運用されていますが、弊社はセキュリティを高めるためにこのような体制をとっています」 などとサイトでアピールできるほどの意味があるでしょうか? 質問[2] プライバシーマーク取得しないでデータベースのバックアップ先を自社にして問題視されないのでしょうか? バックアップする先は通常は会社のサーバということになりますが、会社のサーバに個人情報を保存するとなると、会社自体のセキュリティ体制が絡むことになります。しかしこうなってしまうと会社自体でプライバシーマークを取得して運用するようにしないといけなくなってしまうのではないかと思うのですがどうでしょうか? プライバシーポリシーページを設けて宣言するだけでは言うだけですからどうとでも言えますので悩んでおります。 プライバシーマークは高い費用がかかるようなので、できれば当面は取得せずに運用したいものですが・・・ 質問[3] :XXS、CSRF、SQLインジェクション、バッファーオーバーフロー等の対処方法はどこに集積されている? 全ての入力フォームがある画面について、脆弱性を突く入力送信への対処をWebアプリケーション側でやっておきたいですが、その最新の処理方法が纏められている本・サイトを探しております。どこにあるでしょうか? サイトがあるならば有料でも利用すべきだと思っております。 以上です。 宜しくお願い申し上げます。
- ベストアンサー
- インターネットビジネス
- メールによる個人情報送信について
Eメールにて個人情報を送信すると たとえば、電話番号やメールアドレスや住所氏名など、 が第三者に漏れるといいますが、次の3つにあげるものを 危険性の高い順に教えてください。 1、WEBサイトのメール送信フォーム(SSLなどの処理なし) 2、ISPの送信メールサーバ 3、WEBメールサービス あと、入手されやすい情報と、されにくい情報の例も教えてください。
- ベストアンサー
- その他(インターネット・Webサービス)
- レンタルサーバのSSL
現在、ロリポップでサーバをレンタルしています。 SSLでのセキュアなフォームをおきたいと考えているのですが、初めてなもので質問させて頂きます。 私のドメインをhttp://www.AAA.comとします。 SSLのきくメールフォームをレンタルし、http://www.AAA.comからレンタルしたメールフォームのサイトへリンクする。そのサイトのフォームから入力された内容はレンタルメールフォーム側のサーバに蓄積される。そこからデータをエクスポートするのは可能だとします。エクスポートしたデータを自分のレンタルしているサーバのDBに自動で入れたいのですが、これは手動じゃなきゃ無理なのでしょうか。 ※SSLを使わなければ、自分のレンタルしているサーバ内でフォームを作り、DBに直接送信できるのですが・・・。 ※SSLをgeotrust等で独自に取り、レンタルサーバで使用する手もあるのですがこれでは費用が高く付いてしまう・・・。 (1)http://www.AAA.com→レンタルメールフォームで送信→レンタルメールフォーム内のDBに蓄積→ローカルにエクスポート→http://www.AAA.comのDBにインポート ではなく、 ↓ (2)http://www.AAA.com→レンタルメールフォームで送信→http://www.AAA.comのDBにインポート と手動を省ければと考えています。 ロリポップはSSL不可です。 チカッパ(http://chicappa.jp/)などは共用SSLがありますが、この共用SSLが利用可のレンタルサーバでは(2)が可能と考えてよろしいのでしょうか? SSL可でレンタルしたサイト→レンタルしたサイト以下にあるオリジナルのメールフォーム→SSL可でレンタルしたサイトのDB といった具合に。 どなたか経験あるかたいらっしゃいますでしょうか? ご教示お願いいたします。
- ベストアンサー
- その他([技術者向] コンピューター)
