サーバ証明書の意義
2003年2月7日(金曜日)
サーバ証明書の意義
httpsではないのでってソースをみるとformのactionはhttpsになってるようですが。
以上、RTC担当紅玉杖さんの不定期の部屋 より
いつぞやのオフで sagamiさんにも話しましたが、送信先が HTTPS なら問題ない、と思ってしまうのは罠です。何故かというと、送信前にサーバ証明書を確認することが出来ないからです。
そもそもどうしてサーバ証明書なんてものが必要かというと、DNS Spoofing などによって別途定めるサーバが「成りすまし」を行う可能性があるからです。通信内容が暗号化されていれば経路の途中で盗聴されても問題ありませんが、送信先が偽物だったら全く意味がありません。だからこそ、送信前にサーバが本物かどうか確認してやらないといけません。そのためのサーバ証明書なのです。
つまり、送信対象のホストのサーバ証明書を、送信前に確認できるようになっていなければ意味がありません。フォームを SSL で保護するなら、送信前のフォームが HTTPS であり、そこから同じホストに対して POST するようにしておく必要があります。
※ちなみに、IE のデフォルト状態では POST が別のサーバに送られると警告されるようになっていますが、それはこの辺の事情によります。この警告が有効なら、submit してからヤバいと思ってもまだ間に合うというわけです。
この辺りをまったく理解していないのが某大手の……ってこのへんから先はヤバすぎて書けませんが、ともかくそんなわけですので、びいさんの
と納得してたけど、SSLでフォームを送信する時ってフォーム自体もHTTPSな所にないとダメじゃなかったっけ。
以上、びいさんの日記。 より
に米一俵。
- 「サーバ証明書の意義」へのコメント (2件)
- 前(古い): ダウンロードで残念な思い
- 次(新しい): 一太郎13&花子13スペシャルパック
