Q&A
アメリカの試供品提供サイト(レビュー必須)のお問い合わせフォームの作成依頼を受けて子受けに依頼したということですか? ⇒ sample.com は実在のドメインです。
お問い合わせの機能を作成してもらったのですが、
確認画面のURLに
https://example.com/confirm?_token=FeAoNFdc9CGO3bBkC7M8LBVFJm3LRWhyq5ekwIPV&name=山田太郎&address=大阪市旭区XXXX&tel=099384996&email=aki%40example.com&category=4&item%5B0%5D=41&message=hoge
という風に入力内容が表示されます。
このような仕組みって大丈夫なのでしょうか?
あまり、このようなパターンを見たことが無く、不安に感じます。
宜しくお願いいたします。
回答2件
0
ベストアンサー
(セキュリティ的な観点で言うとHTTPS化されているのであれば途中経路での盗聴等は防げますが、)
- サーバ側のアクセスログには残る(設定次第だが、よくある設定だと残り、アクセスログを読める人なら個人情報にアクセス出来てしまうことになる)
- ブラウザのアクセスログに残る(ブラウザの設定次第)
- 問い合わせ完了ページからのリンククリックでリファラーに残る場合がある
- (コメントを受けて追記)ブラウザによっては文字数制限が厳しい(IEだと2083文字まで)
等の問題があるため、普通はやりません。
このような仕組みって大丈夫なのでしょうか?
サーバ側の設定は設定を精査すれば解消できますが、運営者が制御できないブラウザの設定から(それもデフォルトの状態で)問題が起きる可能性がある以上、「大丈夫」と言い切るのは難しいです。
法的に責任を問われた際に負けるかどうかはやってみないとわからないとは思いますが。
そもそも論としては、
問い合わせフォームからの情報送信はPOSTで行われるべき性質のものであるので、
GETで行われているであろう現状は普通では無く、専門家としての常識の範疇から逸脱していると思われますので、余程無茶な発注をしているとかそういう事情が無い限りは修正依頼をするのが一般的な対処かなと思います。(この辺は個別の事情もあるでしょうし、まずは作った人に相談してみてください。)
投稿2019/09/17 03:25
編集2019/09/17 03:51
総合スコア18727
そもそもGETアクセスはHTTPSでもURLの暗号化はされない
> asahina1979さん
ホスト名は暗号化されませんが、QueryStringは暗号化されますよ。
文字数の問題もありますね。
まぁ、いずれにしてもなしだなぁ。。。
あれ?以前の確認した位置がわるかったかな
> te2jiさん
補足ありがとうございます。
IEの文字数制限は忘れてました。。。IE11でも2083文字制限は変わって無いみたいですね。
> asahina1979さん
私も以前同様に思って途中経路(ルータ)でパケットキャプチャしてみたことがあるのですが、ホスト名以外(パス、basic認証情報、GET等)は全て暗号化されていました。仕様的にも暗号化されるのが正しいはずです。
だと思います。255バイトの制限もありますよね・。。。
そんなに文字列数制限って緩かったんでしたっけ!?
255文字は K=VのVの制限
> hideponさん
現時点ではIE以外だと文字数制限はあんまり問題にならないと思います。
ガラケーのブラウザとかだともっと厳しかった気がしますね。
スミマセン。文字数制限の件、勘違いしていました。おっしゃる通りです。おはずかしい・・・・
セッションに入れて、完了画面でdestroy するのが一番ですかね!?
それか、データベースに仮置きしておいて、完了画面で有効化するか!?
どっちがベストでしょ?
POSTになってて、
他のセキュリティ対策が正しく実装されているのであれば、
hiddenで引っ張り回すか、sessionで引っ張り回すかどちらかだと思います。
DBとかファイルに仮置きするのはリスクが増えるだけかと。
そうですよね・・・やっぱりセッションですよね・・有難うございます。DBに入れると中途半端なデータがゴミになりますよね・・・
この辺はたしか、過去の質問で同じ話題を見たことあったと思うので、探して見てください。
有難うございます!!!!
0
一部がurlエンコードされていますが、一部は日本語がそのまま表示されています
普通に考えれば「なし」です
投稿2019/09/17 02:59
総合スコア116661
あなたの回答
tips
プレビュー
