- PR -

httpsのサイトにget送信した場合の暗号化について

1
投稿者投稿内容
hahaha
会議室デビュー日: 2005/12/20
投稿数: 2
投稿日時: 2005-12-20 10:29
httpsのサイトとの通信時のパラメータ暗号化について

postの場合はパラメータを含めて暗号化できることは理解しておりますが、getの場合はURLに含まれる"?"移行のパラメータも含めて暗号化されるのでしょうか。

http://www.atmarkit.co.jp/fjava/keyword/jkey/jkey01.html

上記記事は2001年のもので古いものではありますが「SSLを使ったサイトを構築するためには、GET方式やURL再書き込みは向いていないということである。」との記載があり、題記を否定するものであります。
当方でhttpサイト、httpsサイトの通信をキャプチャしたところ、httpサイトとの通信についてはget、postに関わらずパラメータが丸見えでしたが、httpsサイトとの通信時にはgetでの接続においてもパラメータを確認できる内容は見つかりませんでした。

また、Refererの情報漏れもチェックしてみましたが、httpsサイトの通信上においてはReferer情報についても削除されているように見えました。httpsサイトとの通信ではRefererも削除されるのでしょうか。

携帯電話向けのサイト構築中なのですが、getを使用せずpostのみのサイトですと操作性が低下してしまうため、悩んでいるところです。

ご教授の程、よろしくお願いします。
unibon
ぬし
会議室デビュー日: 2002/08/22
投稿数: 1532
お住まい・勤務地: 美人谷        良回答(20pt)
投稿日時: 2005-12-20 10:52
どっかで見たなあ、と思ったら過去にすでに指摘されていました。

件名:SSLでHTTPメッセージはどの部分が暗号化されるの?
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=1991&forum=12

@ITさんに、直して、と言わなかったのか、そのままになっているようです。

#以下、あとで追加。

とりあえず@ITさん(info@atmarkit.co.jp)に、この掲示板のスレッドをお知らせしました。
また、SSL で URL rewriting してセッション ID を URL に持たせているサイトは巷で良く見かけます。私も、一顧客として良くアクセスしていますが、問題はないと思っています。
なお Referrer については良く知りません。

[ メッセージ編集済み 編集者: unibon 編集日時 2005-12-20 11:06 ]
hahaha
会議室デビュー日: 2005/12/20
投稿数: 2
投稿日時: 2005-12-22 11:50
回答ありがとうございます。

これで安心してGETで構築することができます。
1

スキルアップ/キャリアアップ(JOB@IT)