入力フォームの値の盗み見、https について

会社のウェブサイトに、お問い合わせページを追加しようとしています。
入力フォームに社名、連絡先、問い合わせ内容を入力して[送信]ボタンを押すという、
よく見かける形式のものです。
しかし、この場合、なんの工夫もしないで
<FORM action="mailto:～">と<INPUT type="submit">
のようなことをすると、入力値を盗み見られる可能性があるのではと危惧します。
実際、信頼のできるサイトを見ると、こういった入力フォームを用いる場合、
https を使っているところが多いように思います。

そこで質問ですが、https利用等の工夫しない場合、
盗み見られることはあるのでしょうか？
盗み見られるメカニズム（？）について簡単に教えてもらえませんでしょうか？

また、https はどのようにすれば利用できるのでしょう。
会社が契約しているレンタルサーバーサービスが対応しているかどうか？
https を利用することで費用負担がある？
等。

社内のウェブ管理担当をしているのですが、
私を含めみんなウェブに関しては素人です。
ご教授よろしくお願いします。

No.1 ベストアンサー 回答者： Wr5 回答日時： 2013/04/03 11:38

>そこで質問ですが、https利用等の工夫しない場合、

>盗み見られることはあるのでしょうか？
>盗み見られるメカニズム（？）について簡単に教えてもらえませんでしょうか？

クライアントとサーバまでの間の経路でパケットを盗聴する(あるいはそれに類する方法)と、内容が見られます。
お手軽に試す…というのはちょっと面倒ですが。
自PCにProxyソフト(squidなど)をインストールし、WireSharkなどのパケットキャプチャ系のツールもインストール。
社内の別PCで構築したproxyを設定して、パケットキャプチャを実行している状態でWebアクセスしてもらえば
キャプチャしたパケットが確認できるでしょう。

>また、https はどのようにすれば利用できるのでしょう。
>会社が契約しているレンタルサーバーサービスが対応しているかどうか？
>https を利用することで費用負担がある？
>等。

SSLの証明書などの購入が必要になりますから費用負担は発生するでしょう。
実際のところは契約しているレンタルサーバ会社に問い合わせを。

自前で証明書を用意する「オレオレ証明書」という方法もありますが、それだとブラウザから「安全ではない証明書」などの警告画面が出ることになります。
企業としてはそういうコスト掛けずにオレオレ証明書で済ませて警告画面が表示される。というのはマイナスイメージでしょう。

この回答へのお礼

早速お返答いただきありがとうございます。
とても参考になりました。
費用がかかったとしても、やはり対策はしようと思います。

盗み見の方法も具体的に教えていただきありがとうございます。
ほとんどズブの素人でプロキシの意味さえよく分かっていない有様ですが、
このあたりのことには興味があるので実験してみようと思います。

ありがとうございました。

お礼日時：2013/04/03 13:15