常連

### 実現したいこと
HSTSの脆弱性(RFC 6797 HTTP Strict Transport Security)を是正したい。
curlコマンドの結果にHSTSヘッダーが表示されるようにしたい。

### 発生している問題・分からないこと
(RHEL8)
以下の設定をnginx.confに追加したのですが、
curlコマンドの結果にHSTSのヘッダーがありません。何が問題なのか分かる方がいたら教えていただけないでしょうか。よろしくお願い致します。

【nginx.confに追加した設定】

server {
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

listen 443 ssl;
server_name *.xxxxx; ← curlコマンドで指定するドメイン

ssl_certificate /etc/nginx/ssl/ssl.crt/portal.crt;
ssl_certificate_key /etc/nginx/ssl/ssl.key/portal.key;
}

server {
listen 80;
server_name *.xxxxx; ← curlコマンドで指定するドメイン
return 301 https://$host$request_uri;
}

※nginx -t で文法エラーがないことを確認し、systemctl restart nginxを実行

【curlコマンドの結果】
# curl -I https://xxxxxx
HTTP/1.1 200 OK
Server: nginx
Date: Tue, 27 May 2025 09:02:09 GMT
Content-Type: text/html; charset=utf-8
Connection: keep-alive
X-Content-Type-Options: nosniff
Expires: Sun, 19 Nov 1978 05:00:00 GMT
Cache-Control: no-cache, must-revalidate
X-Content-Type-Options: nosniff
Content-Language: ja
X-Frame-Options: SAMEORIGIN
X-Generator: Drupal 7 (http://drupal.org)



### 該当のソースコード

```
特になし
```

### 試したこと・調べたこと
- [x] teratailやGoogle等で検索した
- [ ] ソースコードを自分なりに変更した
- [ ] 知人に聞いた
- [x] その他

##### 上記の詳細・結果
AIに質問してnginx.confを変更しましたが上手くいきませんでした。

### 補足
特になし

HSTSの脆弱性を是正したい

ウェブサービスにおける数字6桁の認証コードの強度を知りたいです。
10万通りしかないので簡単に突破できてしまうのではないかと思いました。

6桁の認証コードは総当たり攻撃に弱いかどうか

クレジットカード登録に失敗した際のエラーメッセージの表示内容についてですが、仮にクレジットカード番号が間違っていた場合、「指定されたカード番号が正しくありません」と表示させることはセキュリティ上問題ないでしょうか。
「入力内容が間違っています」などと表示させることも考えましたが、有効期限やセキュリティコード、名前の他項目も確認する手間が増える為、直接表示させた方が良いと思いました。
ご助言頂けましたら幸いです。
[追記]
クレジットカード登録は以下のAPIを使用を考えていました。
https://docs.fincode.jp/develop_support/error

クレジットカード登録に失敗した場合に表示させるエラーメッセージについて

## テーマ、知りたいこと

ここに質問(意見)を聞いていいのかわかりませんが...

![![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-07-03/9fe0c95c-8850-4897-980e-5873410a3b66.png)](https://ddjkaamml8q8x.cloudfront.net/questions/2023-07-03/e6c6c25e-b2a8-4990-bc8d-a6d38b65085c.png)

このような図において，**コンピュータウイルスに含まれないランサムウェアが存在するのか**，ということに疑問を持っています．

## 背景、状況

![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-07-03/b04be907-9a6b-4b4c-8887-2fbd502340a9.png)

のような図をネット上で見つけたのですが(ランサムウェアはマルウェアと何が違うのか？ | サイバーセキュリティ情報局 [https://eset-info.canon-its.jp/malware_info/special/detail/191031.html](https://eset-info.canon-its.jp/malware_info/special/detail/191031.html))，ランサムウェアに含まれないウイルスや，トロイの木馬などがあると思うので間違っていると考えたのですが，狭義のコンピュータウイルスに含まれないランサムウェアががあるのかということに疑問を持ちました．

有識者の方がおられましたらお教えいただきたいです．
また，こうじゃないかという意見がありましたらぜひお願いします！

狭義のコンピュータウイルスに当てはまらない(属さない)ランサムウェアは存在すると思いますか？

現在、pythonを活用したデータ分析を検討しております。下記ご教示いただけると助かります。

不明点
 python使用の際、データ活用においてセキュリティの観点で気をつけるべき点

もし判断において必要な情報が抜けている場合はご質問ください。
よろしくお願いいたします。

〜追記〜
みなさまコメントをいただきありがとうございます。
この質問をした際に知りたかったこととしては、ExcelやPowerPointのような感覚を持っていていいのか、というものでした。
ChatGPTなどAIは質問した内容が企業に使用されている、とお聞きしたことがあります。
GoogleColabratoryは個人で使用しておりましたが、データがクラウドに保存？される(オープンソース…であっていますでしょうか)というもののため情報漏洩リスクがより高いと認識しております。

現在使用している環境であれば、ネットにつながっていなくとも動作するため、ネットに常に繋げている必要はない=PCにデータが保存されているため最も漏洩リスクが低い環境である、と認識しておりますが、念のためお伺いさせていただいている次第です。
この認識はがあっているのか、ご教示いただけますでしょうか…？

企業でpythonを活用する際の情報漏洩リスクとその対策について

## テーマ、知りたいこと
SPFの存在意義についてわからなくなりました。
存在意義について教えてください。

## 背景、状況
SPFは下記の手順で認証する認識です。
1.ドメインのDNSサーバーのSPFレコードに
送信許可があるメールサーバーのIPアドレスを登録する

2.受信したメールサーバーは送信した
「メールサーバーのIPアドレス」「ドメイン」を取得する

3.受信したメールサーバーはドメインのDNSサーバーのSPFレコードを取得し
SPFレコードのIPアドレスの範囲に「メールサーバーのIPアドレス」があるかチェックする
範囲内の場合、正当と判断する
範囲外の場合、不当（なりすまし）と判断する

DNSサーバーのSPFレコードが自由に編集可能な環境の場合、
SPFの検証を突破することができ、欠陥があるため存在意義がわからなくなりました。

たとえば
正当なメールアドレスがseitou@sample1.com、
なりすましメールアドレスがhutou@sample2.comで、
sample2.comのDNSサーバーのSPFレコードに
hutou@sample2.comに紐づくメールサーバーのIPアドレスが登録され
hutou@sample2.comでなりすまされたケースを考えると、
受信したメールサーバーは
sample2.comのDNSサーバーのSPFレコードのIPアドレス範囲と
送信したメールサーバーのIPアドレスを評価するため
検証が突破されるように思います。



SPFの存在意義について

PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。
エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「[php メールフォーム 作り方](https://www.google.co.jp/search?q=php+%E3%83%A1%E3%83%BC%E3%83%AB%E3%83%95%E3%82%A9%E3%83%BC%E3%83%A0+%E4%BD%9C%E3%82%8A%E6%96%B9&ie=utf-8&oe=utf-8&client=firefox-b-ab&gfe_rd=cr&ei=6NrkWKWOBuzZ8AfguCs)」でググって表示されるサイトを見ると、「んんんんん？？？」と思うところがあります。
これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思います。
そのような方々が参考にできるメールフォームを作りたいという思いで、調べて作りました。
周りに書いたコードを確認してもらえる人もいないので、皆様からのアドバイスがほしいです((_ _ (´ω｀ )ﾍﾟｺ

このメールフォームは、下記を対象者としています。

- php メールフォーム 作り方 でググってコピペする方
- コピペして動けばいいと考えている方
- if文や関数など基本的な記述はわかるけど、クラスとか理解していない方
- 脆弱性？なにそれ？という方

そのために、このメールフォームは下記の点を意識して作成しました。

- **コピペしたら動く**
- **なるべく難しい記述はしない、記述量を減らす**
- 処理を中断する die を使っていないので、表示したい箇所にコピペすれば動く
- PHP5.2.xまで想定し、環境（magic_quotes_gpc、セーフモード）に依存しない
- 肝心の脆弱性対策はクリックジャッキング、CSRF、XSS、メールヘッダインジェクションを考慮

最終的にはコード＋説明した記事を作成してQittaに投稿する予定です。
問題があれば、詳しい方々からアドバイスやご指摘があるはずなので...

**皆様から見て、脆弱性や気になる点などあれば、アドバイスもらえると嬉しいです((_ _ (´ω｀ )ﾍﾟｺ**
至らないところがあれば、調べますので、ご指摘だけでも頂けると嬉しいです。
お願いします。

入力（`index.php`） → 確認（`confirm.php`） → 送信（`send.php`） と画面を遷移してメールを送ります。

```php
<?php
// 他のサイトでインラインフレーム表示を禁止する（クリックジャッキング対策）
header('X-FRAME-OPTIONS: SAMEORIGIN');

// セッション開始
session_start();

// HTML特殊文字をエスケープする関数
function h($str) {
	return htmlspecialchars($str,ENT_QUOTES,'UTF-8');
}

/* --------------------------------------------------
	トークンの作成（CSRF対策）

	※使用しているPHPのバージョン・環境にあわせて
	 トークンを選んでね。不要なトークは削除してね。
-------------------------------------------------- */

// PHP 7.0 以降
if(!isset($_SESSION['token'])) {
	$_SESSION['token'] = bin2hex(random_bytes(32));
}

// PHP 5.3 ～ 5.x ※OPENSSL導入済
if(!isset($_SESSION['token'])) {
	$_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
}

// PHP 5.3 未満
if(!isset($_SESSION['token'])) {
	$_SESSION['token'] = hash('sha256', session_id());
}

// トークンを代入
$token = $_SESSION['token'];

?>
<!DOCTYPE html>
<html lang="ja">
<head>
<meta charset="UTF-8">
<title>入力画面</title>
</head>
<body>

<h1>お問い合わせ（入力画面）</h1>

<form method="post" action="confirm.php">
<table>
	<tr>
		<th>お名前（必須）</th>
		<td><input type="text" name="name"></td>
	</tr>
	<tr>
		<th>ふりがな（必須）</th>
		<td><input type="text" name="ruby"></td>
	</tr>
	<tr>
		<th>メールアドレス（必須）</th>
		<td><input type="text" name="mail"></td>
	</tr>
	<tr>
		<th>内容（必須）</th>
		<td><textarea name="content"></textarea></td>
	</tr>
</table>
<input type="hidden" name="token" value="<?php echo h($token); ?>">
<button>送信内容確認</button>
</form>
</body>
</html>
```

```php
<?php
// 他のサイトでインラインフレーム表示を禁止する（クリックジャッキング対策）
header('X-FRAME-OPTIONS: SAMEORIGIN');

// セッション開始
session_start();

// HTML特殊文字をエスケープする関数
function h($str) {
    return htmlspecialchars($str,ENT_QUOTES,'UTF-8');
}
?>
<!DOCTYPE html>
<html lang="ja">
<head>
<meta charset="UTF-8">
<title>確認画面</title>
</head>
<body>

<h1>お問い合わせ（確認画面）</h1>

<?php

// セッション変数がなければ、空文字を代入
if(!isset($_SESSION['token'])) {
    $_SESSION['token'] = '';
}

// POSTされたデータを変数に代入（magic_quotes_gpc = On ＋ NULLバイト 対策）
foreach (array('token','name','ruby','mail','content') as $v) {
    $$v = filter_input(INPUT_POST, $v, FILTER_DEFAULT, FILTER_FLAG_STRIP_LOW);
}

// トークンを確認し、確認画面を表示
if($token !== $_SESSION['token']) {

    echo '<p>お問い合わせの手順に誤りがあります。<br>お手数ですが、最初からやり直してください。</p>';

} else {

    $error_flag = 0;

    // 必須項目は未入力をチェック
    if ($name === '') {
        echo '<p>お名前をご入力してください。</p>';
        $error_flag = 1;
    } elseif (mb_strlen($name) > 50) {
        echo '<p>お名前は 50 文字以内で入力してください。</p>';
        $error_flag = 1;
    }

    if ($ruby === '') {
        echo '<p>ふりがなをご入力してください。</p>';
        $error_flag = 1;
    } elseif (mb_strlen($ruby) > 50) {
        echo '<p>ふりがなは 50 文字以内で入力してください。</p>';
        $error_flag = 1;
    }

    if ($mail === '') {
        echo '<p>メールアドレスをご入力してください。</p>';
        $error_flag = 1;
    } elseif (mb_strlen($mail) > 100) {
        echo '<p>メールアドレスは 100 文字以内で入力してください。</p>';
        $error_flag = 1;
    } elseif (!filter_var($mail, FILTER_VALIDATE_EMAIL)) {
        echo '<p>メールアドレスの形式が正しくありません。</p>';
        $error_flag = 1;
    }

    if ($content === '') {
        echo '<p>内容をご入力してください。</p>';
        $error_flag = 1;
    } elseif (mb_strlen($content) > 500) {
        echo '<p>内容は 500 文字以内で入力してください。</p>';
        $error_flag = 1;
    }

    // エラーがある場合は、戻るボタンを表示し、エラーがない場合は、確認画面を表示
    if ($error_flag === 1) {
        echo '<button onClick="history.back(); return false;">戻る</button>';
    } else {
        // セッション変数に代入
        $_SESSION['name'] = $name;
        $_SESSION['ruby'] = $ruby;
        $_SESSION['mail'] = $mail;
        $_SESSION['content'] = $content;

        // 確認用画面の表示
    ?>

        <form method="post" action="send.php">
            <table>
                <tr>
                    <th>お名前</th>
                    <td><?php echo h($name); ?></td>
                </tr>
                <tr>
                    <th>ふりがな</th>
                    <td><?php echo h($ruby); ?></td>
                </tr>
                <tr>
                    <th>メールアドレス</th>
                    <td><?php echo h($mail); ?></td>
                </tr>
                <tr>
                    <th>内容</th>
                    <td><?php echo nl2br(h($content)); ?></td>
                </tr>
            </table>
            <input type="hidden" name="token" value="<?php echo h($token); ?>">
            <button>送信</button>
        </form>

<?php
    }
}
?>
</body>
</html>
```

```php
<?php
// 他のサイトでインラインフレーム表示を禁止する（クリックジャッキング対策）
header('X-FRAME-OPTIONS: SAMEORIGIN');

// セッション開始
session_start();

// mb_send_mail のエンコーディング
mb_language('ja');

// 内部文字エンコーディングを設定
mb_internal_encoding('UTF-8');
?>
<!DOCTYPE html>
<html lang="ja">
<head>
<meta charset="UTF-8">
<title>送信画面</title>
</head>
<body>

<h1>お問い合わせ（送信画面）</h1>

<?php

// セッション変数がなければ、空文字を代入
if(!isset($_SESSION['token'])) {
    $_SESSION['token'] = '';
}

// POST['token']の値をtoken変数に代入
$token = filter_input(INPUT_POST, 'token', FILTER_DEFAULT, FILTER_FLAG_STRIP_LOW);

// 各セッション変数を各変数に代入
$name = isset($_SESSION['name']) && is_string($_SESSION['name']) ? $_SESSION['name'] : '';
$ruby = isset($_SESSION['ruby']) && is_string($_SESSION['ruby']) ? $_SESSION['ruby'] : '';
$mail = isset($_SESSION['mail']) && is_string($_SESSION['mail']) ? $_SESSION['mail'] : '';
$content = isset($_SESSION['content']) && is_string($_SESSION['content']) ? $_SESSION['content'] : '';

// トークンの値が一致しない場合は、エラー文を表示し、一致する場合は送信する
if($token !== $_SESSION['token']) {

    echo '<p>送信後に再度アクセスされたか、お問い合わせの手順に誤りがあります。<br>お手数ですが、最初の画面からご入力ください。<p>';

} else {

    /*  運営側へ送信するメールの設定  */

    // 送信先のメールアドレス
    $to      = 'xxxxxx@xxxxx.xxxx';
    // 件名
    $subject = '【お問い合わせからの送信】○○○○○○○○○○';
    // 本文
    $message = "◆お名前\n$name\n\n◆フリガナ\n$ruby\n\n◆メールアドレス\n$mail\n\n◆内容\n$content";
    // オプション
    $option = '-f'. $to;


    /*  問い合わせされた方へ自動返信するメールの設定  */

    // 件名
    $auto_subject = '【お問い合わせ】○○○○○○○○○○';
    // 送信元のメールアドレス
    $auto_from    = 'From:' . $to;
    // 本文
    $auto_message = "
※このメールは自動返信によるものです。

$name 様

このたびは、お問合せいただき、誠にありがとうございました。

お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。
    ";

    /* セーフモードがONの場合は、mb_send_mailの第5引数が使えないため、処理を分岐して送信 */
    if(ini_get('safe_mode')) {

        /*  運営側と自動返信のメールの送信が完了したら、送信完了の文章を表示する  */
        if(mb_send_mail($to, $subject, $message, "From:$mail") && mb_send_mail($mail, $auto_subject, $auto_message, $auto_from)) {
            echo '<p>このたびは、お問合せいただき、誠にありがとうございました。<br>お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。</p>';
        } else {
            echo '<p>大変申し訳ございませんが、メールの送信に失敗しました。<br>お手数ですが最初からやり直してください。</p>';
        }

    } else {

        /*  運営側と自動返信のメールの送信が完了したら、送信完了の文章を表示する  */
        if(mb_send_mail($to, $subject, $message, "From:$mail", $option) && mb_send_mail($mail, $auto_subject, $auto_message, $auto_from, $option)) {
            echo '<p>このたびは、お問合せいただき、誠にありがとうございました。<br>お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。</p>';
        } else {
            echo '<p>大変申し訳ございませんが、メールの送信に失敗しました。<br>お手数ですが最初からやり直してください。</p>';
        }

    }

}

// セッションの破棄
$_SESSION = array();
session_destroy();

?>
</body>
</html>
```

## **2017.04.11 追記**

徳丸氏による、脆弱性の解説です。

- [teratailに投稿されたメールフォームにCSRF脆弱性が残存した理由 | 徳丸浩の日記](http://blog.tokumaru.org/2017/04/teratailcsrf.html)

ありがとうございます((_ _ (´ω｀ )ﾍﾟｺ

【PHP】作成したメールフォームに脆弱性がないか、アドバイスもらえないでしょうか。

iframeのsandboxを使うシチュエーションが思いつかないです。ウェブサイトでどのようなことをしたいときに使うのでしょうか？

セキュリティー