PHP:base64でエンコードされた文字列をGETで渡すのは安全ですか?
受付中
回答 3
投稿
- 評価
- クリップ 1
- VIEW 7,222
base64でエンコードされた文字列をGETパラメータで渡すということを考えています。この方法は安全でしょうか?
アドバイスお願いします!
-
気になる質問をクリップする
クリップした質問は、後からいつでもマイページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
クリップを取り消します
-
良い質問の評価を上げる
以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します
-
評価を下げられる数の上限に達しました
評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる
teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 過去に投稿した質問と同じ内容の質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します
この機能は開放されていません
評価を下げる条件を満たしてません
質問の評価を下げる機能の利用条件
この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
-
メールアドレスの認証
メールアドレスの認証
-
質問評価に関するヘルプページの閲覧
質問評価に関するヘルプページの閲覧
+2
base64はただのエンコードなので誰でもデコード出来るからです。
特定の記号が使えて特徴的なのですぐにbase64使ってるってわかりますし。
なので安全性を気にするのであればSSLのようなちゃんとした暗号化を用いましょう。
↑は完全にPOSTと勘違いして書いてました。
まぁbase64は特徴的で誰でもエンコード/デコードできるから改竄・解析が容易いってのはあるので、
base64エンコードしたからと言ってセッションIDみたいな見られて困るのを付けるのはやめましょう。
ただ先に言った通り改竄も容易いのでちゃんと平文同様パラメータのチェックはしましょう。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
+2
パスワードのような機密情報だとしたが、安全ではありません。
なぜなら BASE64 は簡単に元の文字に戻せるからです。
画像データのバイナリーを渡す場合でも注意が必要です。
BASE64 の利用について、セキュリティについてこんな記事があります。
- HTML5, JavaScript: Base64エンコードされた画像をアップロードする上で http://elicon.blog57.fc2.com/blog-entry-369.html より
...
HTMLでimgタグを使って画像を表示したい場合、srcに画像のURLを入れる。これが近年ではcanvasタグやFile APIの導入にともなって、Base64エンコードされた文字列を画像データとしてsrcに入れるケースもブログなどで紹介されている。もしこれをユーザに任意の画像をアップロードさせるWebアプリに使うならXSSに気を払わなければならないという話。
...
なにも考えずにDataURL形式で画像を取りまわしてHTMLに埋め込んだりしようとすると、任意のスクリプトが埋め込めてしまうということ。テンプレートエンジンのオートエスケープなどで防がれることもあるだろうが、うっかり画像ファイルデータならエスケープしなくてもいいだろうとオートエスケープを外してしまうかもしれない。
...
stackoverflow に こんな QA のページがありましたので、紹介しておきます。
- Passing base64 encoded strings in URL http://stackoverflow.com/questions/1374753/passing-base64-encoded-strings-in-url
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
0
質問の意図がわからないので勝手に判断しました。
GET方式で暗号化文字列を渡しても良いのか。
なんの問題もないかと思います。
例として、現に2重送信防止やクローリングツール対策そのようなパラメータをよく使われております。
ただ、HTTPS通信方式をお勧めします。BASE64の暗号は安全か。
これは単に複雑に組み合わせて暗号化すれば良いと思います。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
15分調べてもわからないことは、teratailで質問しよう!
- ただいまの回答率 88.22%
- 質問をまとめることで、思考を整理して素早く解決
- テンプレート機能で、簡単に質問をまとめられる
2014/09/25 00:21