はじめて投稿します。よろしくお願いします(>_<)
会社の事情で、素人同然の私が「Webディレクター」的なことをしなければならないという状況になり、とっても困っています。
--------ミッション
会社からのミッションは、Webサイトに「お問い合わせフォーム」を設置するというものです。
※ちなみに私は、お問い合わせフォームというのが、何と何で成り立っていて、どんな仕組みで動いているのか、それさえ分からない素人です。
個人情報を入力させることになるので、出来るだけ安全で、出来るだけ安く、つくれたらと思います。
※ちなみに、現状は「mailto:」です。
・なんかカッコ悪い
・お客さんから「使いにくい」とクレームがある
・お客さんのメアドや名前をラクに管理したい
などの理由から、このたびお問い合わせフォームを設置することになりました。
お客さんの情報は、総務の女の子がエクセルに入力して、管理しているような状況ですので、それもどうにかしたいです。
--------いまの状況
自分で出来る限り調べましたら、
・perlとCGIを使うのがメジャーな方法
・SSLを使うと、クライアントとサーバー間は安全
・レンタルサーバはSSL対応(エックスサーバという会社だそうです)
・SSLを使えば安全というわけじゃない
・HTMLでフォームのページをつくってから、証明書をもらう???(とは何のことだろう・・・)
これだけのキーワードを拾うことができました・・・
がしかし、限界です・・・^^;;;
--------知りたいこと
ちなみに、私ができるのは、HTMLでフォームをコーディングすることだけです。
お問い合わせフォームには何が必要なのか・・・
そして何を外注して、何を自分でやればいいのか・・・
段取りをご教授ください!
No.2ベストアンサー
- 回答日時:
単にお問い合わせフォームを作りたい・情報の管理を効率よくしたい、というご要望だけでなく、件名が「安全なお問い合わせフォーム」という事ですし、お調べになった項目の中にも「SSLを使えば安全というわけじゃない」とありますので、個人情報の流出を防ぐ対策も重要視している、という事ですよね?
入力フォームを作ってデータを受け取り且つ管理が楽になる様なシステムを作る、というだけであればANo.1の方が沢山挙げて下さっている様に、サンプル・プログラムは沢山ありますし、最低限の知識があればカスタマイズ可能です。しかし、セキュリティ対策…という事になるとやはりそれなりの知識とスキルが要求されるでしょう。そうなると専門のノウハウを持ったところへアウトソーシングするのもやむを得ない場合も出てくるかもしれません。
XSS(クロスサイトスクリプティング)、SQLインジェクション、といった様なキーワードでググってみるとこの点の更なるヒントが得られると思います。
下記のコンテンツなども一読されておくと参考になるかもしれません。
【参考】http://www.ipa.go.jp/security/index.html
ちなみに、
> ・HTMLでフォームのページをつくってから、証明書をもらう???(とは何のことだろう・・・)
ここで仰っている「証明書」とはSSLのデジタル証明書の事でしょう。SSL自体は質問者様ご使用のエックスサーバでもプランによって利用可能の様です(http://www.xserver.ne.jp/functions.php)が、実際にそのSSL使用のコンテンツを公開する際には”このSSLは安全です”といった太鼓判の様なものが必要です。それを、然るべきところ(レンタルサーバの会社とはまた別です)に手続きを申請して証明書を発行してもらい、コンテンツ上に所定のセキュアドシール(「証明書があるぞ」という様な事を示すマーク(リンク付き)の様なものです)を貼って、閲覧者へ安心感を与える事ができます。
有名なところではベリサイン(http://www.verisign.co.jp/)などがありますね。多分、ここのシールはよく目にしておられるのではないかと思います。
大変丁寧にありがとうございます。
べリサインは見たことがありました!
けっこうお金かかるんですね。(そりゃそうですよね・・・)
セキュリティ対策、難しいけれど、とても勉強になります。。。
XSSとSQLインジェクションを調べました。
やはり詳細は理解できませんでした・・・
素人なりの解釈ですが、つまり、WEBサーバとクライアント間はSSLで守られても、WEBサーバにあるデータベースから個人情報を盗んだりすることはできる・・・っていうことでしょうか?
つまり、XSSとかSQLインジェクション対策をする必要があるのだけど、それだと、専門家に頼むのもやむをえない・・・と。
No.3
- 回答日時:
ANo.2です。
> べリサインは見たことがありました!
> けっこうお金かかるんですね。(そりゃそうですよね・・・)
ベリサインは有名どころ、という事もあって安価な方ではないですね。もう少し低価格の会社もありますよ。下記の様なサイトで各社の比較チャートを見ることもできますのでご検討されてみてはいかがでしょう。
【参考】http://sslreview.jp/content/table/index.html
> XSSとSQLインジェクションを調べました。
> WEBサーバとクライアント間はSSLで守られても、WEBサーバにあるデータベースから個人情報を盗んだりすることはできる
そんな感じです。あとは、データを盗む以外にもサーバに対して攻撃をしかけてサイトに意図しないコンテンツを表示させる、といった行為も可能になります。
ごく大雑把に説明すると、入力フォームの欄は、クライアント(閲覧者の端末)側からデータをいれてサーバ側に送信する事ができますよね。その時に、XSS対策を何も施していないと、普通のテキストデータではなく実行力を持ったスクリプトを入力して送信する事も可能なんですね。
例えば、以下はWikiに載ってた例をそのまま引用させて頂きますが、文章を書き込めるBBSの様なものがありますよね。
そこの入力欄でただ”Hello”と入力した場合は単に、ブラウザには「Hello」と表示されるだけですが、入力欄にJavaScriptのコードで”<script>alert("警告")</script>)”と入力した場合、ブラウザ側はこの「スクリプト」を実行してしまうので、画面上に「警告」というメッセージがポップアップで表示されてしまいます。
【参考】http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD% …
SQLインジェクションは、やはり入力フォームから”別のSQL文(SQLというのはDBにアクセスして情報を引き出したり登録したりするのに特化した言語とでも解釈しておいて下さい)を「注入 (inject)」”する事で、制作者側が本来意図していなかったSQL文を発行してDBの操作をする事ができる攻撃方法です。注入されたSQL文によって、DBに登録された情報の漏洩・改竄・破壊という事も可能になってしまうのです。
【参考】http://ja.wikipedia.org/wiki/SQL%E3%82%A4%E3%83% …
これらの事態を防ぐ為に、通常は制作段階で入力された値をそのまま受け取らない様に各種サニタイズ(入力されたデータの危険な部分を無力化する操作)というのが施されます。例えば、HTMLタグを埋め込まれても実態参照に置き換えてただの文字列にしたり、SQL文が入力された場合は実行力のある文字に対して適切なエスケープをする事などで無効化したり、といった様な事です。
> XSSとかSQLインジェクション対策をする必要があるのだけど、それだと、専門家に頼むのもやむをえない
社内でそれに対応可能なスキルを持つ方がいるとか、それらの対策の為に必要な学習をして習得をした後に設置する、という事が可能な状況でなければそれしか選択肢がない様に思われます。
「安全」にはそれなりの対価を払う事が必要でしょうし、「安価」にはリスクを抱える事への覚悟もしくは社内で賄える様になる為の時間が必要でしょう。
大変丁寧な回答、ありがとうございます。
ものすごく勉強になりました。
(インターネットを利用することがちょっぴり怖くなりました(^^;)
社内での個人情報の取り扱いからして問題がありますので、やはり、慎重にことを進めないといけないですね。
フォームの設置やインターネット上でのセキュリティ対策は、専門家の方にお願いしようと思います。
有難うございました!
No.1
- 回答日時:
「メール フォーム cgi」 「メール フォーム PHP」などで検索すれば、無料のメールフォームはたくさん発見できると思います。
http://www.synck.com/contents/download/cgi-perl/ …
http://www.rocomotion.jp/phpms/pm_mail.php
http://www.keitai-site.net/php/mailform_php/
http://www.yumemaboroshi.net/cgi4315/
ありがとうございます!
>http://www.synck.com/contents/download/cgi-perl/ …
これはすばらしいですね!
こんなのを無料で使わせてくれるなんて・・・
セキュリティ面で会社と相談ということになってしまいそうですが、このサービスはすごく有益な情報でした。
ありがとうございました!
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- Google Drive Google form を利用して 問い合わせフォームを作りたい 1 2022/04/25 14:15
- JavaScript ラジオボタンによるフォームの開閉を行いたい 3 2022/03/31 21:30
- その他(プログラミング・Web制作) 入力フォームへ、データを自動的に入力するプログラム。どうやって作る? 4 2023/01/16 10:24
- PHP sessioncookieをではなくcookieを使わなければならない理由について… 4 2022/11/07 13:01
- PHP $_SESSIONに渡した後はそのまま使っても問題ありませんか? 3 2022/11/08 22:17
- その他(セキュリティ) お世話になります。 来年の1月に会社都合により早期退職する予定なのですが、 顧客対応のため、夜、家で 3 2022/12/01 10:48
- ヤフオク! ヤフーアカウントについての質問です。 「不正利用が疑われる操作もしくは行為が検知されたため、利用規約 5 2022/08/29 20:22
- Amazon ネット初心者に詐欺・フィッシングメールを確実に見分けさせる方法はありあせんか? 5 2023/06/28 11:03
- その他(パソコン・スマホ・電化製品) ASUSの保証期間が短い 2 2023/05/02 11:53
- その他(ソフトウェア) YahooのIDがロックされてしまいました 1 2022/11/25 19:49
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ホームページでCGIのフォームを...
-
送信フォームの全角文字情報がc...
-
フォームメールの送信日時設定方法
-
自動返信文に余計な文字が入る
-
ビジネスメールの敬称
-
DATE型変数を初期化する方法
-
エクセルVBA テキストボックス...
-
テキストボックスの番号を使っ...
-
教えて!全角文字「μ」の半角
-
excel vba でユーザーフォーム...
-
EXCEL VBA で指定した範囲に入...
-
Excel-VBAでInputBox+Pulldown...
-
c#でTextBoxの入力制限
-
初歩的な事だと思います。 Sub...
-
数字以外の入力をエラーにする...
-
入力フォームの値をQRコードで...
-
accessで該当するレコードがな...
-
FIREFOXでWebページを表示でき...
-
アクセスのマクロ
-
VBA R1C1形式で変数の入力について
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ホームページでCGIのフォームを...
-
FC2のメールフォームの設置方法...
-
【GAS】Gmail本文をブラウザ表...
-
ラジオボタンの選択を反映させたい
-
CGIのメールフォームを、ウェブ...
-
cgi
-
DWでメールフォームを作りたい!
-
KENTさん clipmail.cgiの携帯...
-
ホームページビルダーでメール...
-
送信フォームの全角文字情報がc...
-
アンケート・注文フォームの作り方
-
WEB上から好きなアドレス宛に送...
-
HPでメルアドを載せないで訪問...
-
フォームから入力した漢字が文...
-
フォームメールの送信日時設定方法
-
メールフォームで考えられるス...
-
ホームページビルダー21を教え...
-
一言メールフォームを設置したい
-
メールフォーム
-
YahooジオシティーズのCGIメー...
おすすめ情報