- PR -

鍵のアイコンが出ないSSLのページ

投稿者投稿内容
KENCH
ベテラン
会議室デビュー日: 2004/09/15
投稿数: 82
お住まい・勤務地: FBI,CIA,KGB,MI6にマークされているためシークレット
投稿日時: 2005-09-13 09:55
ごく素朴な疑問というか不安なのですが、
私の母などに暗号化されているページがどうかを見分ける手段として、
鍵のマーク(IEは下の方にSSLのページだと鍵のアイコンが出ますよね)
が付いているかどうかを確認してもらうように教えていました。

しかし、一部のメールフォームやショッピングフォームなどでは、
SSLをうたっているにも関わらず鍵のマークが出てこないページがあります。
ちょっとソースを拝見するとpost先のアドレスが「https://〜」になっていました。

この場合、そのページそのものがhttpsのアドレスになっていなくても、
セキュリティ上送信するデータの暗号化に差は無いのでしょうか?

今は母にソースを確認してもらうのは無理があるので、
個人情報を入力するようなサイトに始めて投稿する時には
私が事前に確認するようにしています。
ちょっと神経質かもしれませんが。
try
常連さん
会議室デビュー日: 2004/10/22
投稿数: 38
お住まい・勤務地: 神奈川/東京
投稿日時: 2005-09-13 10:11
引用:

KENCHさんの書き込み (2005-09-13 09:55) より:
しかし、一部のメールフォームやショッピングフォームなどでは、
SSLをうたっているにも関わらず鍵のマークが出てこないページがあります。
ちょっとソースを拝見するとpost先のアドレスが「https://〜」になっていました。



すべてをSSLで保護せず、サーバにPOSTする時だけSSLを使っているサイトを見かけたりしますね。
サーバへの影響(リソース)の問題だからでしょうけど。

引用:

この場合、そのページそのものがhttpsのアドレスになっていなくても、
セキュリティ上送信するデータの暗号化に差は無いのでしょうか?



送信するだけであれば、暗号化されている中でのパスワード送信でも
送信する時だけ暗号化されているものでも変わらないかと思います。
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2005-09-13 10:41
おはようございます。

フォームページが http で、submit して GET/POST する先が https というのは、造りとしては N.G.です。
なぜなら、フォーム自体が https でないため、指定されている GET/POST 先が信頼できる保証が無いからです。
ソースで先を確認するにしても、Javascript やらなんやらの影響全て読みきってまで、先を確認しきるのは大変で不確実かと。( 一寸大げさかも知れませんが )

ただし…、勿論 GET/POST 先 ( https ) が正しければ、暗号化自体は正当に行われるはずです。

以上、ご参考まで。
コナン
ベテラン
会議室デビュー日: 2005/01/31
投稿数: 98
投稿日時: 2005-09-13 10:43
こんにちわ。

送信するデータの暗号化は大丈夫だと思うけど、データを入力するページで
証明書を見れないのはちょっと気持ち悪い気がします。

#かぶっちゃった

[ メッセージ編集済み 編集者: コナン 編集日時 2005-09-13 10:45 ]
おっきー
大ベテラン
会議室デビュー日: 2003/05/01
投稿数: 104
投稿日時: 2005-09-13 11:30
鍵が表示されないのは部分的にSSLで暗号化されてい
ないページをインラインフレームで表示したり画像を
読み込んでいる場合におこったような気がします。
そんな場合でも証明書もちゃんと確認できます。

暗号化が完全じゃないということですね。
コナン
ベテラン
会議室デビュー日: 2005/01/31
投稿数: 98
投稿日時: 2005-09-13 12:51
引用:

おっきーさんの書き込み (2005-09-13 11:30) より:

鍵が表示されないのは部分的にSSLで暗号化されてい
ないページをインラインフレームで表示したり画像を
読み込んでいる場合におこったような気がします。
そんな場合でも証明書もちゃんと確認できます。

暗号化が完全じゃないということですね。


すみません、言葉足らずだったみたいです。
入力フォームのあるHTMLファイルについて、HTTPで取得したときは証明書を確認できないですよね。
その入力フォームの送信先がSSLのときはデータを暗号化して送信できるけど、でもそれだと
SSLにするメリットのうち、「なりすましの防止」には意味がないなと思って書きました。
#ベリサインシールとかがあれば、そっちで確認できますけどね
KENCH
ベテラン
会議室デビュー日: 2004/09/15
投稿数: 82
お住まい・勤務地: FBI,CIA,KGB,MI6にマークされているためシークレット
投稿日時: 2005-09-13 17:20
もうしわけありません、私も少々言葉足らずでした。
本件、フレームの中のページではなく単体のページの話です。
フレームの中のページでも、確かに「ん?」と思うことはありますね。
分かる人にはわかるんでしょうが、分からない人にはどうやって説明すればいいのやら。
私は永遠にサポセン状態のようです。

皆さん返答ありがとうございました。
勉強になりました。
KENCH
ベテラン
会議室デビュー日: 2004/09/15
投稿数: 82
お住まい・勤務地: FBI,CIA,KGB,MI6にマークされているためシークレット
投稿日時: 2005-09-14 10:17
追伸
余談ですが、今SOAP+SSL関連の情報を集めているんですけども、
自分で作った証明書の事を、「なんちゃって」とか「オレオレ」とか言うんですね。

私は、自分で「勝手証明書」と呼んでいました。「勝手格付け」みたいなもんです。
だって嘘ついてるわけじゃなんですよね。
センスは人それぞれだと思いますが、なんとなく「勝手証明書」がイケてると思う自分が好き。
余談でした。

[ メッセージ編集済み 編集者: KENCH 編集日時 2005-09-14 10:19 ]

スキルアップ/キャリアアップ(JOB@IT)