SSLについて人によって意見がまちまちな問題が
浮上しており、困っております。
ぜひお詳しい方のお知恵をお借りできたらと思い投稿させていただきました。
非SSLページ(入力フォーム)→SSLページ(確認ページ)
という単純な遷移です。
非SSLページは静的なhtmlファイルで
個人情報を入れてpostでsubmitするフォームになっています。
このとき、私の認識では、個人情報は暗号化されると
思っていました。
しかし、入力フォームもSSLページでなければ暗号化
されないという意見とそうでない意見が交錯しています。
遷移先がSSLであれば、証明書等チェックが入って
最終的にフォームの値含め、通信データは暗号化されて送信
されると思っていますが間違っているでしょうか?
ちなみに個人情報を入れるページは心理的にはhttps
であったほうがいいということは間違い無いと思います。
技術的な見地でお願いします。
よろしくお願いしますm(_ _)m
A 回答 (3件)
- 最新から表示
- 回答順に表示
No.3
- 回答日時:
No.1で書いたものです。
ちゃんと調べてみたら内容に誤りがあったことに気付いたので訂正します。
「技術的な観点だけなら入力フォームは非SSLでも良い」が正解です。
接続先がhttpsであれば、SSL認証→リクエストを暗号化して送信を一度に行ってなってしまうので、入力フォームのページは非SSLで問題ないようです。別々なタイミングで行われているものだと勘違いしておりました。
ただ、モラル的にはやはり入力フォームの段階でSSLページである方が入力するユーザが安心できるので、入力フォームの段階でSSLページであるべきです。
浅はかな知識で適当な回答してしまい、失礼いたしました。
参考URL:http://itpro.nikkeibp.co.jp/article/OPINION/2005 …
ご回答ありがとうございます!
結論的には暗号化されるというところで
ずいぶんすっきりいたしました。
フィッシング対策という意味でのSSLという使い方もあるのは
勉強になりました。
しかし!また違った観点からの情報もあるのではと思い、どうせなら証明機関大手3社にも聞いてしまおうということで、聞いてみました結果、以下のような回答をいただきましたので、この場をお借りしましてご報告します。
V社→暗号化されない
S社→クライアントとサーバーの設定によりけりでどちらとも言えない
G社→暗号化されない
ということで、益々?な状態です。
S社のみ技術者対応で、V社、G社は技術サポートも少しできると思われるオペレータでしたが、G社は断言されていました。
ちなみに3社とも利用者の心理面的にSSLページにしておくことを勧めておられました。そこは営業的には分かりますが・・
なんともしっくり来ないご回答で。。
ありがとうございます。
No.2
- 回答日時:
接続先がhttps://でSSLハンドシェイク終わる前に非暗号のデータ送ったらブラウザのバグです
SSLがOSI参照モデルのどの層にあるのか判ってないんじゃないんですかね
入力フォームがhttpsは心理的、は間違いです
技術的にhttpsである"べき"です
ご回答ありがとうございます!
ブラウザのバグがあればもうどうしようもないですね。。
ご回答からですと、やはり非SSLページからでも
暗号化されると理解しました。
技術的にhttpsであるべきというお言葉は、
私も一技術者として頼もしいお言葉だと思います。
サービス提供の場合、暗号化されていないと認識されるユーザー様もおそらくまだまだ多く、そこでCV率を落とすワケにもいかず、悩むところです。。
ありがとうございます!
No.1
- 回答日時:
入力フォームはSSLページでなければいけません。
SSLの暗号化のやり取りは簡単に説明するとに以下のような感じになります
クライアント:SSLの接続要求(httpsでリクエストする)
↓
サーバ:サーバ証明書を返す
↓
クライアント:サーバ証明書を検証し問題なければ共通鍵を生成しサーバの公開鍵で暗号化した上サーバに渡す
↓
サーバ:受け取った共通鍵を秘密鍵で復号する
↓
以降サーバ・クライアント双方で、共通鍵で暗号化・復号を行いながら通信する
上記のとおりクライアントからのSSL接続要求を行った後に初めて暗号化通信を行う準備が整うので、入力フォームが表示される段階でSSLページになっていないと意味がありません。
もし、入力フォームが非SSLページの場合、最初の「クライアント:SSLの接続要求」の段階ではデータは暗号化されないので、入力フォームの内容が平文のままサーバまでの道程を流れていってしまいます。
もしそういったことを考慮して、「リクエスト先がhttpsの場合は、最初にSSLの接続要求のみのリクエストを投げて、それが完了してから本来送ろうとしていたリクエストを投げる」なんて気の利いたブラウザがあるのであれば入力フォームは非SSLで良いのでしょうが、今のところ私はそんなブラウザは知らないですし、それはそれで別な問題が起きると思いますので無い方が良いです。
ご回答ありがとうございます!
ブラウザがどのような挙動をするのかが私の
最大の謎でした。
ネットで調べても本を調べてもその部分に触れられて
いないからです。
ご回答からは、SSLページにいる状態でなければ、
ブラウザはサーバーからの返答に対してSSLのハンドシェークをしてくれないという理解をしました。
書かれているフローは私の認識とも一致するのですが、
まだ疑問なのが、私はそのフローは毎回リロードするたびに
1から繰り返されるものだと思っています。
その認識で合っていますか?
それから、
>もし、入力フォームが非SSLページの場合、最初の「クライアント:SSLの接続要求」の段階ではデータは暗号化されないので、入力フォームの内容が平文のまま・・・
という部分ですが、最初の「クライアント:SSLの接続要求」の段階では暗号化されている必要は無いと思っています。ここはハンドシェークだけであってまだ入力フォームのデータは含まれていないはずだと思っているからです。これは間違っていますか?
よろしくお願いします。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- PHP $_SESSIONに渡した後はそのまま使っても問題ありませんか? 3 2022/11/08 22:17
- その他(プログラミング・Web制作) 恒久的リダイレクトについて 2 2023/07/13 15:58
- PHP php 入力画面から確認表示画面へ情報の受け渡しについて。 1 2023/06/07 18:00
- PHP php 確認表示画面で値をSESSIONから取り出す理由の解釈は正しいでしょうか? 1 2023/06/09 17:39
- PHP PHPで入力フォームでデータを確認表示画面まで送る流れを日本語で理解したいのです。 1 2023/05/29 19:12
- JavaScript javascriptで移動ボタンを押した際に遷移するボタンを追記したい 1 2022/11/29 03:02
- gooポイント gooポイントをdポイントに交換できない。 3 2022/04/22 20:39
- PHP 掲示板のセキュリティについてアドバイスお願い致します 1 2023/08/11 20:44
- JavaScript Javascriptを使ってQRコード読み取り、取得した情報をPOSTしたいと思っています。 1 2023/04/28 15:18
- その他(プログラミング・Web制作) 入力フォームへ、データを自動的に入力するプログラム。どうやって作る? 4 2023/01/16 10:24
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
有線LAN のセキュリティについて
-
iiyama ProLite XUB2390HSの起...
-
Microsoft Edgeでページが開け...
-
ウェブページへのアクセス不可 ...
-
掲示板サイトへの書き込みがで...
-
Webゆうパックプリントとプリン...
-
httpをhttpsにしたい
-
httpをhttpsにしたいのですが、...
-
「このページは動作していませ...
-
トイレのコンセントにアースが...
-
職場のwifiの設定について
-
ゲーミングノートパソコンはダメ?
-
ネットワーク構築について
-
パソコンページダウン
-
特定のサイトが開けません
-
Webサーバ(yuzu.uja.or.jp)に...
-
三井住友カードについて質問です。
-
セキュリティが軟弱過ぎてる件
-
ホームページをSSL化するのに、...
-
お願いいたします。ホームペー...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
EXCEL VBA 共有ファイルと入...
-
エクセルで簡単な顧客管理
-
アメブロのメッセージボードを...
-
postmail フォーム複数設置に関...
-
MS Access2000でブラウザからの...
-
サイト更新を外注から自社へ
-
証明書エラーが出ます
-
PDFに編集可能領域を作りたい
-
非SSLページからSSLページへの...
-
ビジネスメールの敬称
-
エクセルVBA テキストボックス...
-
数字以外の入力をエラーにする...
-
テキストボックスの番号を使っ...
-
DATE型変数を初期化する方法
-
初歩的な事だと思います。 Sub...
-
なんで
-
Excel-VBAでInputBox+Pulldown...
-
お問い合わせフォームから送信...
-
私、Paiza Cloudやっているのだ...
-
VBAでInputBoxの再入力をさせる...
おすすめ情報