Q&A
回答有難うございます。
証明書、思ってたよりは安いですね。ただ実は当方、よほどの苦学生だったりしますw(学校の規則によりバイトすらできない。)
自己証明書でのテストは成功し、JSのコードはうまくいっておらず「やっぱりSSLのほうがいいじゃん」という状態です。
これから結局SSLを使おうと思います。とりあえず今は自己証明書でやっていき、無料化を気長に待ちたいと思います。
PHP,Javascriptを勉強中のものです。
現在PHPでログイン機能のあるwebページを試しに作っていますが、クライアントからサーバーに送信されるデータの暗号化をしたいと思っております。SSLを使えばいいのでしょうが、証明書の調達などが必要なためなかなか手が出せません。(自作もできるようですが。)
そこで、簡易的にjavascript等でこれができないかと思い質問させていただきました。
しかしjavascriptにはじめて触れるので何をどうしたらいいのか分かりません。
希望としては
lang
1<form method="POST" action="./login.php"> 2メールアドレス 3<input type="text" name="mailaddress"><br> 4パスワード(10字以下) 5<input type="password" name="password" maxlength="10"><br> 6 7<input type="submit" value="テスト" style="width: 100px; height: 50px"> 8</form>
これをsha256等で暗号化した状態でPHP側に渡したいと考えております。
---------------追記---------------
SSLや暗号化って言ってるのにsha256などと書いてあり紛らわしく申し訳ありません。
復号化はできなくても大丈夫です。sha256等なら同じ文字列はハッシュ値も同じになるのでそれをパスワードとしてDBに記録すれば大丈夫だと思っていました。
(もちろん自分が用意したページ以外から生で正しいパスワード送っても弾かれますが、これから作ろうと思っているサイトではそういうことをあんまりさせたくないのでいいかななどと思っております。)
それと、SSLのほうも証明書自作してどんなものか試してみます。
回答6件
0
学習のために自分で利用するだけなんですよね?「自己証明書」っていうのをUNIX上で作成すればSSL証明書はタダで使えますよ?ブラウザがセキュリティ絡みの警告を出してきますが、設定から「ルート証明書のインストール」という操作を手動で行って作成した自己証明書をインポートすればそれも出なくなります。
自己証明書作成についての記事
投稿2015/03/29 07:50
総合スコア7
0
英語サイトですが無料のSSL証明書もあるので、
https://www.startssl.com/?app=1
http://qiita.com/k-shogo/items/870b6d3939dd08da2de4
取得してみるのもいいかもしれません。
投稿2015/03/24 10:20
総合スコア18713
0
余談ですが、
SSL証明書も最近は3000円/年程度で買えるので(1ヵ月換算で250円)、よほどの苦学生さんとかでなければ、それほど経済的な負担にはならないと思いますよ。自己証明書(いわゆるオレオレ証明書)でもいいんですが、ブラウザの警告が鬱陶しいですしねw
https://www.google.co.jp/search?q=rapidssl
今年あたり無料化するって話しもあったりします。
http://www.itmedia.co.jp/enterprise/articles/1411/20/news049.html
投稿2015/03/21 08:05
編集2015/03/21 08:08
総合スコア783
余談ついでですが。
> よほどの苦学生だったりしますw
高校生さんとかですか?
学習用途なんであれば、例えば情報処理部でも作って(もしくは入って)学校から予算を引っ張りだせば結構リッチな環境で開発できますよ。余ったPCもらってきてサーバ代わりにしたりね。
あとは学校の規程も、原則禁止ではあるが「家庭の事情」である程度柔軟に対応してくれることがあったりしますよ。まぁ最近はネットでお小遣い稼ぎもできるので、特に技術がなくても500円/月くらいなら簡単ですよ。まぁ参考程度に。
0
SHA256は暗号化ではないです。
公開鍵暗号をJavaScriptで実装すると良いかも知れません。
すなわち...
- AJAXを使ってサーバサイドから公開鍵Sを受信する。
- クライアントサイドで公開鍵Cと秘密鍵Cを生成する。
- クライアントサイドで秘密鍵Cと公開鍵Sを使って、送信したいデータを暗号化する。
- 暗号化したデータと公開鍵Cをサーバに送信する。
- サーバサイドで、公開鍵Sのペアである秘密鍵Sと公開鍵Cで、暗号化したデータを複合化する。
...ということです。
投稿2015/03/21 02:21
総合スコア971
0
アプリケーションレイヤーでこういった暗号化をするのはアンチパターンが気がしないでもないので、
もう一度手法を検討したほうがいいとは思いますがとりあえずこんな感じですかね。
※JQuery使ってること前提で
lang
1$(function(){ 2 var encrypt = function(val) { 3 // なんらかの可逆変換可能な暗号化をする 4 return val + "hoge"; 5 }; 6 7 $('form').on('submit', function(){ 8 var $form = $(this).clone().hide(); 9 10 // formの全要素の値を書き換え 11 $.each($form.serializeArray(), function(k, v){ 12 $form.find('[name="' + v.name + '"]').val(encrypt(v.value)); 13 }); 14 15 $('body').append($form); 16 $form.submit(); 17 18 return false; 19 }); 20});
暗号化部分は適当です。
PHP側で復号化する必要がありますがsha256のハッシュ化するアルゴリズムは
不可逆なので元に戻せません。
投稿2015/03/21 02:07
総合スコア227
0
はじめまして。
下記ページにjavascriptでの暗号化・復号化について書かれています。
http://qiita.com/tnakagawa/items/bba972e71cdc4f0f29f5
これを使い、文字が入力されたときまたはsubmitがクリックされたときに暗号化処理を行ってPOSTで値を飛ばし、受け取り側で復号化すればいいのではないかと思います。
ただし、javascriptはPOSTされた値を受け取ることができません。(ライブラリなどを使えばできるかも?)
そのため、PHPで受け取った値をjavascritpに渡して処理をさせる必要があるので面倒かもしれません。
上記ページでの復号化処理が理解できるのであればPHPで復号化処理を作る方が楽かと思います。
試しに作っているWEBページとの事なので問題ないと思いますが、これを外部公開するサイトで使用しても暗号化の意味はありません。
SSLと違い通信そのものを暗号化するわけではないのでPOSTした値が抜き取られ復号化されてしまいます。
投稿2015/03/21 01:58
総合スコア141
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。