水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > サーバ証明書の意義

サーバ証明書の意義

2003年2月7日(金曜日)

サーバ証明書の意義

httpsではないのでってソースをみるとformのactionはhttpsになってるようですが。

以上、RTC担当紅玉杖さんの不定期の部屋 より

いつぞやのオフで sagamiさんにも話しましたが、送信先が HTTPS なら問題ない、と思ってしまうのは罠です。何故かというと、送信前にサーバ証明書を確認することが出来ないからです。

そもそもどうしてサーバ証明書なんてものが必要かというと、DNS Spoofing などによって別途定めるサーバが「成りすまし」を行う可能性があるからです。通信内容が暗号化されていれば経路の途中で盗聴されても問題ありませんが、送信先が偽物だったら全く意味がありません。だからこそ、送信前にサーバが本物かどうか確認してやらないといけません。そのためのサーバ証明書なのです。

つまり、送信対象のホストのサーバ証明書を、送信前に確認できるようになっていなければ意味がありません。フォームを SSL で保護するなら、送信前のフォームが HTTPS であり、そこから同じホストに対して POST するようにしておく必要があります。

※ちなみに、IE のデフォルト状態では POST が別のサーバに送られると警告されるようになっていますが、それはこの辺の事情によります。この警告が有効なら、submit してからヤバいと思ってもまだ間に合うというわけです。

この辺りをまったく理解していないのが某大手の……ってこのへんから先はヤバすぎて書けませんが、ともかくそんなわけですので、びいさんの

と納得してたけど、SSLでフォームを送信する時ってフォーム自体もHTTPSな所にないとダメじゃなかったっけ。

以上、びいさんの日記。 より

に米一俵。

関連する話題: 思ったこと / コンピュータ / Web / セキュリティ / SSL/TLS

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチ体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト