質問編集履歴
2
6\.としてHTTPS通信の疑問を追加.現在SSLを利用していないことを追加.
test
CHANGED
File without changes
|
test
CHANGED
@@ -2,7 +2,7 @@
|
|
2
2
|
|
3
3
|
|
4
4
|
|
5
|
-
ログイン型掲示板として,PHP, phpMyAdmin, MySQLを用いたWebアプリケーション,並行してAPIを作成し,AndroidやiOSのクライアントアプリケーションからリクエストを送信可能にしようと考えております.ユーザをログインに用いるID, Passwordで管理し,送信者が,受信者(複数可)を設定できるようにします.
|
5
|
+
ログイン型掲示板として,PHP, phpMyAdmin, MySQLを用いたWebアプリケーション,並行してAPIを作成し,AndroidやiOSのクライアントアプリケーションからリクエストを送信可能にしようと考えております.ユーザをログインに用いるID, Passwordで管理し,送信者が,受信者(複数可)を設定できるようにします.SSLなしのHTTP通信を考えています.
|
6
6
|
|
7
7
|
|
8
8
|
|
@@ -16,9 +16,11 @@
|
|
16
16
|
|
17
17
|
0. URL引数による個人情報を含まないデータ送信は妥当か.
|
18
18
|
|
19
|
+
0. HTTPS通信の優位性は何か.
|
19
20
|
|
20
21
|
|
22
|
+
|
21
|
-
の
|
23
|
+
の6点について,教えていただきたいです.1点でも知識をお貸しください.
|
22
24
|
|
23
25
|
|
24
26
|
|
@@ -152,4 +154,24 @@
|
|
152
154
|
|
153
155
|
|
154
156
|
|
157
|
+
-- 依頼により追加 --
|
158
|
+
|
159
|
+
|
160
|
+
|
161
|
+
**6. HTTPS通信の優位性は何か.**
|
162
|
+
|
163
|
+
|
164
|
+
|
165
|
+
現在,すべての通信をSSLなしのHTTP通信で行うことを考えております.
|
166
|
+
|
167
|
+
しかし,SSLなしのHTTP通信は、設定によりGET/POSTリクエストの中身が見えてしまう場合があるとお聞きしました.POSTリクエストはhidden属性によって,第三者から隠すことができる認識でおりましたが,この通りではない状況があるのでしょうか.
|
168
|
+
|
169
|
+
また,SSLは,ブラウザとサーバ間の通信を暗号化し,その間の通信を盗み見ることを難しくする認識でおりました.これは,GET/POSTリクエストに対してどの程度効果があるのでしょうか.また,SSL+POST(hidden)ならば,その通信は秘匿されると考えてよいのでしょうか.
|
170
|
+
|
171
|
+
|
172
|
+
|
173
|
+
-- --
|
174
|
+
|
175
|
+
|
176
|
+
|
155
|
-
の
|
177
|
+
の6点について,1点でもいいので,教えていただければ幸いです.どうぞよろしくお願いします.
|
1
疑問に対する,自分の回答を一部追加.
test
CHANGED
File without changes
|
test
CHANGED
@@ -12,7 +12,7 @@
|
|
12
12
|
|
13
13
|
0. クライアント,サーバ両サイドでのハッシュ処理は妥当か.
|
14
14
|
|
15
|
-
0. POSTリクエストによる個人情報を含
|
15
|
+
0. POSTリクエストによる個人情報を含むデータ送信は妥当か.
|
16
16
|
|
17
17
|
0. URL引数による個人情報を含まないデータ送信は妥当か.
|
18
18
|
|
@@ -96,6 +96,10 @@
|
|
96
96
|
|
97
97
|
|
98
98
|
|
99
|
+
この一時キーによって情報漏えいにつながることは少なく,メールアドレスによる登録数制限が可能であると考えています.これよりも簡易な手法はあるのでしょうか.また,この手法の危険性はあるのでしょうか.
|
100
|
+
|
101
|
+
|
102
|
+
|
99
103
|
**2. POSTリクエストによるユーザ認証は安全か,もっと強固な認証方法はあるか.**
|
100
104
|
|
101
105
|
|
@@ -112,7 +116,13 @@
|
|
112
116
|
|
113
117
|
|
114
118
|
|
119
|
+
POSTリクエストに情報を乗せるのは,URL引数に比べ安全かと思います.しかし,これ以外の送信手法について詳しくないため,これよりも安全性に優れるものがあれば,教えてください.
|
120
|
+
|
121
|
+
パスワードのハッシュ化は,クライアントのみで行うと,容易に偽装可能である.サーバサイドのみで行うと,クライアントはパスワードをPOSTリクエストに平文で乗せなければならない.という問題があると思いますが,実際はどのように対処しているのでしょうか.POSTリクエストに平文を乗せても良いのでしょうか.実際,POSTリクエストは第三者からどこまで読めるのでしょうか.
|
122
|
+
|
123
|
+
|
124
|
+
|
115
|
-
**4. POSTリクエストによる個人情報を含
|
125
|
+
**4. POSTリクエストによる個人情報を含むデータ送信は妥当か.**
|
116
126
|
|
117
127
|
|
118
128
|
|
@@ -121,6 +131,10 @@
|
|
121
131
|
コメントは,massagesテーブルのうち,receiving_timeを除くすべての要素を含むPOSTリクエストによって送信します.
|
122
132
|
|
123
133
|
サーバサイドでは,POSTリクエストを読み取り,整合性の確認(ユーザの存在確認,本文の内容確認),HTMLパース可能な文字列のエスケープを行い,SQLインジェクション対策を行ってinsert文を実行します.
|
134
|
+
|
135
|
+
|
136
|
+
|
137
|
+
個人情報を含まないのであれば,POSTリクエストに平文が乗っていても大丈夫であると思っています.メッセージ本文には,個人情報を特定できる文が含まれる可能性がありますが,POSTリクエストを用いるべきではないのでしょうか.
|
124
138
|
|
125
139
|
|
126
140
|
|
@@ -134,6 +148,8 @@
|
|
134
148
|
|
135
149
|
|
136
150
|
|
151
|
+
個人情報を含まないので,GETリクエストに平文を乗せようと考えております.
|
152
|
+
|
137
153
|
|
138
154
|
|
139
155
|
の5点について,1点でもいいので,教えていただければ幸いです.どうぞよろしくお願いします.
|