質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.49%

  • SSL

    503questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

  • セキュリティー

    464questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

問い合わせフォームはhttpsにする必要なし?

解決済

回答 4

投稿 編集

  • 評価
  • クリップ 9
  • VIEW 5,269

lupus_dingo

score 252

お世話になっております。

問い合わせフォームのあるWebサービスはたくさんありますが、個人的に利用している中でsslでないページ上に問い合わせフォームがあるWebサービスがあります。

これってつまり、同一lan内でかつ回線自体が暗号化(wpa2など)されていない場合、パケットの中が丸見えという状態になると思うのですが、認識あってるでしょうか?
これ大丈夫なのかな、と思って調べてみると意外に問い合わせフォームにsslは必要ないと紹介しているページがたくさんあります。

私が利用したサービスは、入力項目にメールアドレスと氏名、問い合わせ内容の記入が必須なのですがこれくらいなら見られても問題ないという考えなのでsslを導入しないサイトは多いのでしょうか?それともやはり金銭的な理由が大きいのでしょうか?

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

+12

これってつまり、同一lan内でかつ回線自体が暗号化(wpa2など)されていない場合、パケットの中が丸見えという状態になると思うのですが、認識あってるでしょうか? 

WPA2は無線LANの暗号化の規格なので、ここで引き合いに出すのは微妙かと思います。同一LAN内に攻撃者がいれば、確かにARPスプーフィング等で盗聴ができますが、通常はLAN内には攻撃者はいないと想定しているネットワークが多いのが現状ではないかと思います。問い合わせフォームに限らず、同一LAN内に攻撃者がいれば、企業情報の取得など様々な攻撃が可能で、標的型攻撃が成功しやすいのはこの理由が大きいと思います。

つまり、通信路上に攻撃者がいれば確かに盗聴される可能性はあるが、そのようなケースはほとんどないと想定しているのが、通常の企業ネットワークであったり、問い合わせフォームの前提条件になっている、ということなのだと思います。

また、問い合わせフォームの代わりにメールを利用することを想定すると、メールの通信は、SSL/TLSで暗号化する場合もありますが、基本的には暗号化されていない想定なわけで、それと比較して、HTTPSを使わない問い合わせフォームが特段危険とまでは言えないわけです。

ただし、不特定多数が利用する問い合わせフォームに戻ると、利用者が公衆無線LANを使うケースが増えたことから、盗聴されるリスクは昔にくらべて高くなっています。また、HTTPSを利用するためのコストは下がっていることから、「入力項目にメールアドレスと氏名、問い合わせ内容」程度の内容でもHTTPSにするサイトは増えてきていますし、今後はそうすることが望ましいだろう、と思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/01/24 14:50

    回答ありがとうございます。
    同一LAN内の攻撃は通常あまり想定されないんですね。

    無料もあるようなのでサービスを作成する際はssl導入しようと思います。

    キャンセル

checkベストアンサー

+6

SSL導入すべきと思います。
メールは暗号化していないのにWEBだけだと片手落ち、という意見はわかりますが、だからと言ってノーガードと言うのは問題ではないでしょうか。

ちなみに金銭的な問題であれば、今はSSL証明書は無料で利用できるものがいくつもあります。
導入の際にエンジニアの費用は多少発生しますが、調べながら行うレベルのエンジニアでも、30分もあれば出来てしまう程度の設定です。
レンタルサーバーでは共有のSSL証明書が使えたりするオプションもあります。(これは有料のケースもあるでしょうが)

これを理由に、顧客やユーザーに不利益となる状況を放置するのは、ynakanoさんの言葉通りサービス提供側としては「意識が低い」と感じます。

また、問い合わせフォームだけでなく、サイト全体をSSL化する事でGoogleの検索順位に優位な効果がある事も知られていますし、サーバ側の設定を行えばHTTP2.0での高速通信も可能になります。
やっても無駄という意見を見るのであれば、是非やったことでどういう利点があるかについても考えてみてください。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/01/23 13:58

    横から失礼します。

    > サイト全体をSSL化する事でGoogleの検索順位に優位な効果がある事も知られていますし、

    これってすでに効果が明言されているんでしたっけ?まだ有意な結果は得られない認識でしたが。

    キャンセル

  • 2017/01/23 14:13

    https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html
    Googleがそう言っているので、そう思っています。

    キャンセル

  • 2017/01/23 14:16

    測定されているかどうかはともかく、SSLを優遇するというアナウンスはGoogle自体がしています

    キャンセル

  • 2017/01/23 14:31

    Google が SSL の優遇アナウンスや、実際色々施策も打ってることは知っていますが、SSL 化によってランキングに有意な影響があるかというと、明確な結果は測定されていないんじゃないかなぁと横から質問しました。

    リンクによると、2014年時点で1%ということなので、ランキングへの影響は誤差の範囲っぽいですが、現在はもっと影響が出ているのかもしれないですね。

    キャンセル

  • 2017/01/24 14:53

    回答ありがとうございます。
    やはりノーガードはよくないですよね。

    無料も存在するということなので作成する際は取り入れる方向で考えようと思います。

    キャンセル

  • 2017/01/31 13:15

    個人的な体験として、問い合わせフォームに限らず、既存のサイトを後からSSL化するといろいろ不具合というかデメリットも多かったです。Google検索の優遇も特に体感できなかったし。

    これから新規サイトを作るのであれば当然SSL(Let's encryptで十分)がいいと思いますが、既存サイトをSSL化する場合はデメリットについても調べて、よく考えてから実行したほうがいいと思います。

    キャンセル

+2

パケットの中が丸見えという状態になると思うのですが、認識あってるでしょうか? 

ご認識の通りです。
「丸見え」の表現ほどに簡単とは思わないですが、判読可能な状態でパケットが流れていることは間違いないです。

調べてみると意外に問い合わせフォームにsslは必要ないと紹介しているページがたくさんあります。 

私も「へー」と思って調べてみました。
そう書いてあるページが少なからずあって驚きましたが、納得できたのは「メールと絡めている場合、SMTPが平文なんだからWebだけ暗号化してもムダ」という点だけです。
確かにそれでは片手落ちですから。

それを別にすれば個人的にはSSLを導入していないサイトは「意識が低いな」と思ってしまいます。
氏名は言うに及ばず、メールアドレスも個人情報でしょうし問い合わせ内容も場合によってはセンシティブな内容が記載されると思います。
(本名でなくてもよいとか、フリーメールの捨てアドとか、というのは一旦置いておいて)

理由についてですが、まぁやはり金銭的なものだと思います。
ただそれは金銭単独の要因ではなくて、冒頭書いた「SSL化してもムダだよ」という話(をナナメ読みした結果)との複合になってくるのではないかと思います。
SSL化しても仕方ないのにそこに費用をかける必要はないよね、という判断になってしまうのではないでしょうか。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/01/24 14:47

    回答ありがとうございます。
    メールが平文だからといってフォームも平文にするのはちょっと変ですね。

    キャンセル

  • 2017/01/31 13:19

    >メールアドレスも個人情報でしょうし

    「メールアドレスと氏名のセット」であれば個人情報ですが、メールアドレスのみでは個人情報に該当しないはずですが。

    そもそも仮に個人情報に該当するものであっても、5000人以上の情報を扱う組織以外には、個人情報保護の義務は法的には課せられていないはずです。

    意識が高すぎて、ほとんどありもしないリスク(ユーザ数が非常に少ないサイトからの情報漏れ)まで想定して対処するのは単なる「意識高い系」で、やりすぎとも思います。コストは有限なので。

    キャンセル

+1

「これ大丈夫なのかな」が何に対しての感想なのかによると思います。

情報を取り扱う会社として大丈夫かと言われれば、大丈夫じゃありません。
問い合わせフォームを使って大丈夫かと言われれば、問い合わせ用の捨てアドレスを使用するなり、提示する情報を絞るなりして、対策を行うことで問題はないです。

SSL化していないサイトは、コスト云々以前にSSL化の必要性の吟味すらしていないと思います。多分セキュリティ観点での検討をしておらず、困ったことをしている認識すら無いところが多いと思いますよ。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/01/24 14:50

    回答ありがとうございます。
    勉強になります。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.49%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

  • 解決済

    net::ERR_INSECURE_RESPONSE のエラーが発生していてページ遷移できないことが...

    teratail に chrome でアクセスしていると、クリックをしてもページ遷移しないことがあります。 その場合、chrome の debug ツールでコンソールには次のエラー

  • 受付中

    iOS8 でのフォーム送信時のセキュリティー警告の原因

    iOS8/safari で、申し込みフォームを送信しようとすると、次のような警告ポップアップが表示されます。 「送信しようとしているフォームはセキュリティによって保護されていませ

  • 解決済

    dovecotの接続テスト

    現在、メールクライアントでdovecotを利用して、 メールのやりとりをしています。 SSL/TLS接続を使っています。 これをメールクライアントを使わずに Macのターミナル

  • 解決済

    フォームにおける脅威について

    自分のメールアドレスに質問が送られてくるフォームを作りたいと思っています。作る際にPHPは用いず、HTML(必要ならjavascriptも)を使います。作るにあたって、送信者からの

  • 解決済

    3層Webシステムについて(Web/AP/DB)

    前提・実現したいこと Web/AP/DBの三層でAPサーバにはどのようなアプリケーションが置かれるのでしょうか? 自分で練習用にWEBサービスを作る場合はWeb/AP/DB

  • 解決済

    iframeのDOM操作について

    入力を楽にするため、サイトA(自サイト)にiframeを設置し、そこへサイトB(外部サイト)を表示させ、 サイトBのテキストボックスへ値をセットしたいという場合、ドメインをまたがる

  • 解決済

    httpsとsslの関係性がわからない

    httpsとsslの関係性がわかりません。 https = http + ssl ということでしょうか? また、プログラミングでsslを行うことはあるのでしょうか?sslを行う

  • 解決済

    Googleフォームで制限時間つきのテストを作成したい

     前提・実現したいこと 現在、Googleフォームのテスト機能を使ってテストを作成しています。 このテストの制限時間を10分とし、解答者にテスト開始10分後に送信してもらいたいと思

同じタグがついた質問を見る

  • SSL

    503questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

  • セキュリティー

    464questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。