お世話になっております。
個人で開発を進めているのですが、メールに関するセキュリティがいまいち分からなくて、どうするか悩んでいます。
メールを使用したい部分は以下の内容です。
・登録時のメールアドレスの確認
・登録情報の送信
SSL化することでサーバーとの通信を暗号化できるということは理解したのですが、メールは暗号化されないという意見が調べていたら出てきます。
一方で、例えばサーバーの契約時などで登録情報などが送られてくることもありますし、Yahooはパスワードを廃止し、メールに記載する確認コードなどで認証していくように進めていくようです。そもそもgoogleのUSBセキュリティキーなど、パスワードの入力自体を省いていくのが今後の傾向なのかもしれないと思います。
USBのセキュリティキーなどを使わない方法でパスワードを省く認証はメール(SMS)等を必要とすると思うのですが、メールにどこまでの個人情報を記載してよいものなのでしょうか。
こういった情報を送る際は、SSL化とは別になにかしらセキュリティ対策をしているものなのでしょうか。
現在開発はPHPで行っており、「PHPMailer」(github:https://github.com/PHPMailer/PHPMailer)を使用させていただいております。
またSSLとは関係ないのですが、登録時に入力したメールアドレスがすでに登録済みか確認し表示しているのですが、第三者が知っているメールアドレスを入力し、登録しているかを確認できるため、これはよくないという内容を読みました。
しかし、入力時に表示するというだけで、重複するメールアドレスがあった場合、入力時に確認しなくても結局は登録を弾くので第三者が適当なメールアドレスを試せるのは同じではないでしょうか(他に良い方法があるのか思いつかなくてこちらも悩ましいです)。
githubやdropboxなどはっきり確認しているサービスも多いので大丈夫なのかな、とは思っていますが、ご意見をお聞かせいただけたら嬉しいです。
何卒、よろしくお願いいたします。
回答2件
あなたの回答
tips
プレビュー