現在、会社のホームページで資料請求用のフォームを参考書やネットのサンプルデータを使って何とか作成中です。
動作は、必要事項を入力し、送信ボタンを押すと、入力確認ページとなり、それでよければまた送信ボタンを押してもらう。その後、画面に「ありがとうございました」のページ、そして管理者(会社側)には入力内容のメールが送られてくる、といった内容です。
フォームを実際に動かすのが初めてなので、上記に関してご存知の方、経験者の方教えて頂きたいのです。
1.現在使ってるサーバーはCGI(perl)を使用可ですが、よくCGIを使う際に「ご自身の責任で・・・」とあります。サンプルデータをアップして確認する際に気をつけることを教えて下さい。社内にはCGIについて詳しい人がいないので実際アップして動作確認するのが心配です・・・。
2.一連の動作の中で、個人情報が他に盗まれないようにするにはどのようなことが必要でしょうか?
(※メールで入力内容が送られてくる際にメールを秘密鍵などで暗号化する必要があるらしいのですが、
よくある一般的なショッピングサイトなどから送られてくる、注文内容の確認メールなどは、暗号化されたうえで手元に届くのでしょうか?)
宜しくお願い致します。
No.2ベストアンサー
- 回答日時:
1.
ローカルマシンにWebサーバーやperlをインストールして、つまりサーバーと同じ環境を作って、アップする前にまずテストしてみる、というのが基本中の基本です。
これはレンタルの共有サーバーなど如何に関わらず、公開運用中のサーバーをテストに使うのはNGです。
2.
商用サイトという前提で、ごく一般的にはどうしているのか、ですが、
まずサーバー側のデータ管理(これ自体は別の話になりますが)は問題ない前提で、個人情報など重要な情報を不用意にメールで送信してはいけません。
メールというのはご存知のように広大なインターネット上をデータがリレー式に流れるものですから、基本的に危険なものです。「暗号化すれば良い」というのは、あくまでも「程度の問題」であることを忘れないよう。可能な限りデータを「外」に流さないことのほうが重要です。
> よくある一般的なショッピングサイトなどから送られてくる、
> 注文内容の確認メールなどは、暗号化されたうえで手元に届くのでしょうか?)
いいえ、実際にショッピングを利用してみればわかりますが暗号化はしてありません。だからこそ、上記のように重要な情報は普通は書いてありません。もちろん例外はありますが。
で、一般的に、また具体的にどうするのが最善かというと、まず「ユーザー⇔Webサーバー」間はSSLでセキュリティを保ちます。これで、少なくとも「サーバーがデータを受け取るまで」は、ある程度の安全性を保てると考えられます。
そして「Webサーバー⇔管理者」をどうするかですが、せっかく安全に受け取ったデータをメールで外に流してしまわずに、管理者も同じ方法で、つまりSSLでサーバーにアクセスし、データを取り出します。
その方法は様々ありますが、手っ取り早い、よく使われる方法は、パスワードとIDによって認証ガードされた「管理者専用ページ」を用意し、そこから必要データを閲覧したり取り出したりします。もちろんSSLによって守られています。
データフローの源流から下流まで、すべてSSLによって守られているという点に注目してください。
この流れをベースに、たとえばユーザーからの送信があったら「受信しました」だけ書かれた通知メールを管理者に送るなど、運用面でのサポートをするのみとし、あくまでもデータが流れる経路は厳重かつ慎重に考えましょう。
余計なおせっかいかもしれませんが…
2のほうは、ご存知のように法律が絡みます。新しく個人情報保護法が施行され、違反すると罰せられるのはもちろんですが、最近は特に話題になったりもして、社会的に大変神経質になっている問題です。会社の信用にも直接つながります。
もし自信がないなら、この部分だけでもプロに相談されるのが最善かと。
詳しく教えていただき、ありがとうございました。
1のサーバーの件、システム担当者に相談してみます。
2は個人情報の件がとても気になっていたので、ありがたかったです。この部分はやはりプロに相談したほうが良さそうですね。作成中の通知メールの内容も検討します。
No.1
- 回答日時:
1.クロスサイトスクリプティングに気宇つけてください。
http://www.atmarkit.co.jp/fsecurity/special/30xs …
このあたりを読んで理解できなければ、フォームの設置はしないほうがよいです。
2.入力部分のWebはhttpsを使うようにします。メールは暗号化します。個人情報が入ったファイルをWebサーバに置かない。個人情報が入った一時ファイルを作成したら、確実に消す。などなど
回答ありがとうございました。
「クロスサイト・・・」については知りませんでした。
また、2の個人情報についてもありがとうございます。
参考になりました。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- Amazon アマゾン 7 2022/06/11 11:03
- PHP php 入力画面から確認表示画面へ情報の受け渡しについて。 1 2023/06/07 18:00
- 所得税 電子税?のメールについて教えてください 8 2022/09/04 21:38
- JavaScript ラジオボタンによるフォームの開閉を行いたい 3 2022/03/31 21:30
- その他(暮らし・生活・行事) → ※このメールは、ファミマTカードをファミペイに登録されたことがある会員様にお送りしております。す 4 2023/05/03 12:24
- その他(データベース) Accessフォームからパラメーターで表示したレコードを指定のExcelのセルへ転送する方法について 2 2022/08/22 18:04
- PHP PHPで入力フォームでデータを確認表示画面まで送る流れを日本語で理解したいのです。 1 2023/05/29 19:12
- PHP $_SESSIONに渡した後はそのまま使っても問題ありませんか? 3 2022/11/08 22:17
- Amazon ★このようなメールが本日届きましたがこのメール自体詐欺ではないでしょうか? 5 2022/05/26 06:49
- Amazon ネット初心者に詐欺・フィッシングメールを確実に見分けさせる方法はありあせんか? 5 2023/06/28 11:03
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
VBAでoutlook365が起動しません。
-
BASP21使用のメール送信でコマ...
-
リンクをクリックするだけでC...
-
ASPでのsendmail(BASP21の使用...
-
さくらインターネットでの添付...
-
添付ファイルをつけてメールを送る
-
Exchangeを使用したメール送信...
-
LCD ディスプレイを Raspberry ...
-
ArduinoのジャイロモジュールMP...
-
Excel VBAでリンク切れをチェッ...
-
モジュールとクラスの違いって...
-
Excel VBAで、ユーザーフォー...
-
Wordで、分かち書きをするVBA ...
-
Excel VBA 定義されたプロージ...
-
Excelで時刻になったら知らせて...
-
powershellで関数名を変更する...
-
グラフのX,Y座標を取得したい
-
vba 標準モジュールインポート...
-
例外処理のフローチャートの記...
-
COBOLで、Shellを起動するには?
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
VBAでoutlook365が起動しません。
-
【C言語】メールを送信するプロ...
-
Net::SMTPでメールを送信したい...
-
CDO.Messageを使ったVBScript
-
さくらインターネットでの添付...
-
VBAでsmtp認証をするには?
-
フォームデータ-の送信時の確認...
-
VBScriptで、メールの送信をし...
-
Clipmail3.0 確認画面の非表示...
-
メールフォームCGIを探していま...
-
リンクをクリックするだけでC...
-
javamailでメール送信ができません
-
ASPでのsendmail(BASP21の使用...
-
プロキシ経由でjavamailを使っ...
-
Windowsメールを別アプリから操...
-
Exchangeを使用したメール送信...
-
server errorで困ってます。
-
Enterキーを押しても送信しない...
-
フォーム経由で送られるURLつき...
-
LotusScript メール作成方法が...
おすすめ情報