情報セキュリティ
■Web入力データを電子メールで取得する場合の暗号化 (2011.08.12)
|
Webサイトの入力フォームに入力された情報が、相手に安全に届けられるためには、インターネットを経由するデータが、すべて暗号化されている必要があります。 入力フォームのページに鍵マークが表示されていれば、インターネットを経由するデータが暗号化されていると思うかもしれませんが、そうとは限りません。 以下は、入力フォームに入力された情報が、相手に安全に届けられるために必要となる暗号化の例です。 SSLで暗号化、POP over SSLで暗号化、SMTP over SSLで暗号化のそれぞれについて、暗号化の設定を行う必要があります。 1.サーバホスティングサービスを利用している場合 (Webサーバとメールサーバが同じ場所に設置されている場合) ブラウザ -- (SSLで暗号化) --> Webサーバ --> メールサーバ -- (POP over SSLで暗号化) --> メールソフト 2.サーバホスティングサービスを利用し、別のメールサーバに転送している場合 (Webサーバとメールサーバ1が同じ場所に設置され、メールサーバ2とメールソフト間のデータがインターネットを経由しない場合) ブラウザ -- (SSLで暗号化) --> Webサーバ --> メールサーバ1 -- (SMTP over SSLで暗号化) --> メールサーバ2 --> メールソフト 参考)鍵マークの表示について 鍵マークが表示されていなくても、ブラウザとWebサーバ間のデータが暗号化されている場合があります。その逆に、鍵マークが表示されていても、コーディング等のミスにより、ブラウザとWebサーバ間のデータが暗号化されていない場合もあります。 これは、表示されている入力フォーム画面のソースコードを表示して、通常はhttpsの有無により確認することができます。ブラウザがインターネット・エクスプローラの場合、以下の手順で確認することができます。 (1) 入力フォームの一部をマウスの右ボタンをクリックします。 (2) 表示されたメニューの「ソースの表示」をクリックします。 (3) 表示された画面で、「編集」-「検索」により、httpsを検索します。 なお、表示される画面が、複数画面の合成でできている場合、鍵マークが表示されていなくても、入力フォームの部分がhttpsから始まるURLになっている場合があります。 これを確認するには、ブラウザがインターネット・エクスプローラの場合、入力フォームの一部をマウスの右ボタンをクリックし、表示されるメニューの「プロパティ」をクリックします。この操作により、入力フォームのURLが表示されます。 しかし、入力者のことを考えると、入力フォームの画面に鍵マークが表示されるようにすべきでしょう。 |
