![](http://oshiete.xgoo.jp/images/v2/pc/qa/question_title.png?e8efa67)
gooなどのサイトにログインする時、いちいちIDやパスワードを打ち込むのが面倒なのですが、
「https://goo.ne.jp/login.cgi?id=oraora&pass=orapa」
みたいな感じで、formタグのactionに指定されているページに対し、引数で直接IDやパスワードを記述してアドレスを打ち込むのは、sslのページでもやはり安全ではないのでしょうか?
というかDNSに問い合わせする際に、やっぱり引数もそのまま行っちゃうのでしょうか?
No.3ベストアンサー
- 回答日時:
> 途中のプロキシをかましてないのであれば、接続先のWeb
> サーバーのログを閲覧できる管理者以外は引数を知るこ
> とはできない。と考えても良いのでしょうか?
Web サーバのログ以外にも、当然の事ながらブラウザの画面を直接覗かれた場合にも引数は漏れてしまいます。
なお、プロキシサーバについては、特殊なケース (SSL セッションをクライアントとサーバで確立するのではなく、プロキシサーバとサーバで確立する場合など) を除けば、プロキシサーバのログに引数が残ることはありませんし、SSL 通信の場合はキャッシュさえもされません。
これは、プロキシサーバが暗号化された内容を解読することができないからです。暗号化されたコンテンツの中身を中継サーバが見れるのなら、誰でも盗聴可能ってことになってしまいますよね。
ちなみに、パスワードは POST メソッドで送信することが強く推奨されています。ただし、サーバ側システムによっては、認証パスワードを平文のまま保存しているようなところもあるので、POST メソッドを使用したからといって、必ずしもパスワードが漏洩しないわけではありません。
なるほど、大変参考になりました。
ブラウザのアドレス欄に出てしまうのはリスクとして心得るとして、ひとまず引数で直に打ち込んでしまってもそれなりの安全性はあるということで納得致しました。
まぁログインツール使えや&cookie消すなや的な話かもしれませんが、、、。
ありがとうございました。
No.2
- 回答日時:
パラメータを隠す、という点から言えば、GETメソッドはPOSTメソッドよりも遙かに安全性が落ちますが?
URLの中に引数を直接埋め込んだ場合、確実に言えるのは、途中のプロキシサーバや接続先のWWWサーバには、引数を含めたログが残ることです。
質問者さんのようなことをした場合、それらのサーバの管理者には、IDとパスワードの内容がだだ漏れになります。
IDやパスワードなどの機密パラメータの場合、さすがに無理があるということで、とても参考になりました。ありがとうございました。
もうひとつ質問させていただきたいのですが、
途中のプロキシをかましてないのであれば、
接続先のWebサーバーのログを閲覧できる管理者以外は引数を知ることはできない。と考えても良いのでしょうか?
接続先のwebを表示するまでに、さまざまな経路を辿ると思うのですが、そこは大丈夫でしょうか?
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- オープンソース AWSドメイン名でApacheテスト・ページを表示させる方法を教えて下さい。 1 2023/04/26 15:59
- その他(ブラウザ) Edge、Chrome、FireFoxのパスワード記憶機能 2 2023/08/16 16:25
- ハッキング・フィッシング詐欺 楽天のフィッシングメールに引っかかってしまい、 ログインIDとパスワードを入力してしまいました。 次 2 2022/09/20 19:43
- Excel(エクセル) Excel 在庫管理について 3 2023/02/09 10:00
- PHP php ログイン 1 2022/11/01 00:24
- WordPress(ワードプレス) ワードプレスで、投稿一覧ページにタグを表示する方法 投稿につけたタグを、記事一覧ページにもカテゴリと 1 2023/05/10 21:41
- gooポイント gooポイントをdポイントに交換できない。 3 2022/04/22 20:39
- その他(プログラミング・Web制作) Windowsのマクロプログラムで、こんなことできますか? 3 2022/06/28 14:30
- MySQL PHPとMySQLを使った掲示板の作り方 1 2022/06/02 13:00
- JavaScript sessionStorageを調べています。 1 2023/06/20 12:41
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
winscpで複数の踏み台サーバを...
-
アドレスの前にwwwの他にw...
-
WEBサーバ、メールサーバを分け...
-
http://www~以外のURLについて
-
DNSサーバのIPアドレスが上位の...
-
curl実行結果が404で戻ってきて...
-
フォルダを移動した犯人は誰?
-
ドメイン環境でのサーバとクラ...
-
ログとダンプの違いって・・・
-
NTPで同期が始まらない
-
日付と時刻を勝手に戻らせない...
-
WinSCP 接続がタイムアウトさ...
-
NFSサーバーへのファイル転送速...
-
IISのログに出力される「GET」...
-
CentOS6の時刻がズレる理由と、...
-
TeraTermのログが正しく取得出...
-
インターネット時刻にあわせら...
-
外付けHDDへのアクセスログを取...
-
ファイルサーバとFTPサーバの違...
-
LAN上の共有フォルダに誰が...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
アドレスの前にwwwの他にw...
-
curl実行結果が404で戻ってきて...
-
メールソフトの互換性について(...
-
別のコンピュータ名でPINGを打...
-
サーバーは、普通のPCとして...
-
switchで、Wi-Fiはいいのにラグ...
-
Apacheのリバースプロキシ利用...
-
ISサーバについて
-
POSTデータの改ざんを防ぎたい
-
ヤフーのWEBサーバの場所
-
「Unix」ってなんですか?
-
複数のサーバを、一つのサーバ...
-
tera termの使い方を教えて下さい
-
システム構成をうまく説明する方法
-
ドメイン名『jp』と、サーバ...
-
勘定奉行LANPACK 同一パソコン...
-
動的ミラーリングについて知りたい
-
DNSサーバのIPアドレスが上位の...
-
SSLのページでも、引数の直接渡...
-
WEBサーバ、メールサーバを分け...
おすすめ情報