PHP：base64でエンコードされた文字列をGETで渡すのは安全ですか？

Question

PHP：base64でエンコードされた文字列をGETで渡すのは安全ですか？

受付中

回答 3

投稿 2014/09/23 02:23

評価
クリップ 1
VIEW 7,222

obake

score 43

PHPについて、ご相談があって書き込ませてもらっています。

base64でエンコードされた文字列をGETパラメータで渡すということを考えています。この方法は安全でしょうか？

アドバイスお願いします！

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

クリップを取り消します
良い質問の評価を上げる

以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します

評価を下げられる数の上限に達しました

評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる

teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 過去に投稿した質問と同じ内容の質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します

この機能は開放されていません

評価を下げる条件を満たしてません

評価を下げる理由を選択してください
プログラミングに関係のない質問やってほしいことだけを記載した丸投げの質問問題・課題が含まれていない質問意図的に内容が抹消された質問過去に投稿した質問と同じ内容の質問広告と受け取られるような投稿
詳細な説明はこちら

上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。
質問の評価を下げる機能の利用条件

この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
- メールアドレスの認証
  メールアドレスの認証
- 質問評価に関するヘルプページの閲覧
  質問評価に関するヘルプページの閲覧

回答 3 件

評価が高い順
新着順
古い順

同じタグがついた質問を見る

PHP

score 2 · Answer 1 · 2014-09-24T17:23

+2

安全かどうかというのが第三者によるパケット盗聴に対して言っているならそんなに安全じゃありません。
base64はただのエンコードなので誰でもデコード出来るからです。
特定の記号が使えて特徴的なのですぐにbase64使ってるってわかりますし。

なので安全性を気にするのであればSSLのようなちゃんとした暗号化を用いましょう。

↑は完全にPOSTと勘違いして書いてました。
まぁbase64は特徴的で誰でもエンコード/デコードできるから改竄・解析が容易いってのはあるので、
base64エンコードしたからと言ってセッションIDみたいな見られて困るのを付けるのはやめましょう。
ただ先に言った通り改竄も容易いのでちゃんと平文同様パラメータのチェックはしましょう。

投稿 2014/09/24 17:23

2014/09/25 00:47

回答の評価を上げる

以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
回答の評価を下げる

下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

2014/09/25 00:21

あ、GETパラメータの話かｗ

あ、GETパラメータの話かｗ

キャンセル

score 2 · Answer 2 · 2014-09-25T00:31

渡すデータの意味によって安全の判定はかわるとおもいます。
パスワードのような機密情報だとしたが、安全ではありません。
なぜなら BASE64 は簡単に元の文字に戻せるからです。

画像データのバイナリーを渡す場合でも注意が必要です。
BASE64 の利用について、セキュリティについてこんな記事があります。
- HTML5, JavaScript: Base64エンコードされた画像をアップロードする上で http://elicon.blog57.fc2.com/blog-entry-369.html より

...
HTMLでimgタグを使って画像を表示したい場合、srcに画像のURLを入れる。これが近年ではcanvasタグやFile APIの導入にともなって、Base64エンコードされた文字列を画像データとしてsrcに入れるケースもブログなどで紹介されている。もしこれをユーザに任意の画像をアップロードさせるWebアプリに使うならXSSに気を払わなければならないという話。
...
なにも考えずにDataURL形式で画像を取りまわしてHTMLに埋め込んだりしようとすると、任意のスクリプトが埋め込めてしまうということ。テンプレートエンジンのオートエスケープなどで防がれることもあるだろうが、うっかり画像ファイルデータならエスケープしなくてもいいだろうとオートエスケープを外してしまうかもしれない。
...

stackoverflow にこんな QA のページがありましたので、紹介しておきます。
- Passing base64 encoded strings in URL http://stackoverflow.com/questions/1374753/passing-base64-encoded-strings-in-url

score 0 · Answer 3 · 2016-03-19T21:32

0

質問の意図がわからないので勝手に判断しました。

GET方式で暗号化文字列を渡しても良いのか。
なんの問題もないかと思います。
例として、現に2重送信防止やクローリングツール対策そのようなパラメータをよく使われております。
ただ、HTTPS通信方式をお勧めします。
BASE64の暗号は安全か。
これは単に複雑に組み合わせて暗号化すれば良いと思います。

投稿 2016/03/19 21:32

回答の評価を上げる

以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
回答の評価を下げる

下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

PHP：base64でエンコードされた文字列をGETで渡すのは安全ですか？

関連した質問

同じタグがついた質問を見る

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

PHP：base64でエンコードされた文字列をGETで渡すのは安全ですか？

15分調べてもわからないことは、teratailで質問しよう！

関連した質問

同じタグがついた質問を見る

SNSアカウントでログイン

teratailアカウントでログイン