新生鳩丸掲示板♯

bakera.jp > 新生鳩丸掲示板♯ > [3653] Re: 「非SSLのフォームから安全に送信する方法はあるのか」

記事個別表示 (3653)

[3653] Re: 「非SSLのフォームから安全に送信する方法はあるのか」

りゅう (2006年6月5日 2時22分)

>>たとえスクリプトをオフにしていたとしても、ブラウザの謎の仕様や不具合によってform要素のaction属性で指定されているURLとは別のURLにPOSTされることは否定できません。

>

> そんなブラウザの不具合があれば、フォームが https でも駄目だと思いますが。

結果としては駄目ではありますが、それは自分が信頼したサイトと自分が信頼したユーザーエージェントがもたらした結果であって、信頼していない第三者が介入してセキュアでない結果をもたらした訳ではありません。

なので信頼したサイトが提供しているフォームがアレな動作をしたとしても、それはサイト自体がやられてしまっているとか、管理が杜撰で個人情報が漏れまくりというのと同じであって、通信経路に第三者が割り込んで改竄しているという問題とは別のものです。

で、その第三者による改竄の内容としてブラウザの謎の仕様や不具合を突くものというものも十分に考えられますし、安全を考えるならばその可能性すらも考える必要があるはずです。

> まあ、スクリプト無効だと使えない系のフォームを使わなければいけない場合は、そういうことを良くやるわけですが。

> ただ、その HTML を何処に置くかという問題はありますね。受け側が Referer を見たりしていると駄目だったり。

ブラウザを使ってクエリーを送信しなければならない決まりは無いので、そういう場合は人間ユーザーエージェントで対応するとか。まあ、そこまでして利用したいと思うようなサービスというのは無いとは思いますが。

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

:

:

:

最近の日記

関わった本など