自社のサイトで、よくあるお問い合わせフォームを運用しています。メールアドレスや氏名、質問内容などを登録するフォームです。
Linux のレンタルサーバで、Apache + PHP の構成です。
メールアドレスや氏名などを入力するので、https でのアクセスが前提で、サイト上のリンクは、https://~ で記述されていますが、http でもアクセスできるようになっています。
先月、社内の監査部門から、http でアクセスできるのは脆弱性ではないのか、という指摘がありました。https で開いても、ブラウザのアドレスバーでhttp に手動で修正すればhttp になってしまうから、というのが理由です。http でアクセスしようとしても、強制的にhttps にすべきだ、とも指摘されました。
ただ社外のエンジニアの方に聞いてみたところ、脆弱性とまでは言えないのでは、と言われました。わざわざhttp に手で直すのは、使う人の自由だから、ということでした。
そこで質問なのですが、https が前提のフォームの場合、http は無効にすべきでしょうか?
同様のサイトを運用している方は、そのあたり、どのようなポリシーにしているのでしょうか。
よろしくお願いします。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。