常連

### 実現したいこと
HSTSの脆弱性(RFC 6797 HTTP Strict Transport Security)を是正したい。
curlコマンドの結果にHSTSヘッダーが表示されるようにしたい。

### 発生している問題・分からないこと
(RHEL8)
以下の設定をnginx.confに追加したのですが、
curlコマンドの結果にHSTSのヘッダーがありません。何が問題なのか分かる方がいたら教えていただけないでしょうか。よろしくお願い致します。

【nginx.confに追加した設定】

server {
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

listen 443 ssl;
server_name *.xxxxx; ← curlコマンドで指定するドメイン

ssl_certificate /etc/nginx/ssl/ssl.crt/portal.crt;
ssl_certificate_key /etc/nginx/ssl/ssl.key/portal.key;
}

server {
listen 80;
server_name *.xxxxx; ← curlコマンドで指定するドメイン
return 301 https://$host$request_uri;
}

※nginx -t で文法エラーがないことを確認し、systemctl restart nginxを実行

【curlコマンドの結果】
# curl -I https://xxxxxx
HTTP/1.1 200 OK
Server: nginx
Date: Tue, 27 May 2025 09:02:09 GMT
Content-Type: text/html; charset=utf-8
Connection: keep-alive
X-Content-Type-Options: nosniff
Expires: Sun, 19 Nov 1978 05:00:00 GMT
Cache-Control: no-cache, must-revalidate
X-Content-Type-Options: nosniff
Content-Language: ja
X-Frame-Options: SAMEORIGIN
X-Generator: Drupal 7 (http://drupal.org)



### 該当のソースコード

```
特になし
```

### 試したこと・調べたこと
- [x] teratailやGoogle等で検索した
- [ ] ソースコードを自分なりに変更した
- [ ] 知人に聞いた
- [x] その他

##### 上記の詳細・結果
AIに質問してnginx.confを変更しましたが上手くいきませんでした。

### 補足
特になし

HSTSの脆弱性を是正したい

### 「パスワードの送信にURLクエリパラメータを使ってはいけない」のは何故か？

「パスワード等の機密情報をWebサーバーに送信する際は，URLクエリパラメータではなくPOSTのリクエストボディを使うべきである」
という主張を複数の書籍・サイトで見かけたことがありますが，この理由はなんでしょうか？

SSL/TLSを使わないhttp通信の場合は通信路でパケットを盗聴されるとリクエストの中身がすべて丸見えですから
POSTで送ったところで機密情報の保護には役に立ちません。

一方SSL/TLSを使った場合はクエリパラメータまで暗号化されるため，クエリパラメータで送ったところで
機密情報が盗み見られることはありません。(SSL/TLSに脆弱性が無い限り)

したがって個人的にはパスワードをクエリパラメータで送っても何の問題もないと思っているのですが，
表題の主張には何か理由があるものなのでしょうか？
よろしくお願いします。

「パスワードの送信にURLクエリパラメータを使ってはいけない」のは何故か？

### 前提

javaにてhttps通信を行いサーバーに接続するアプリと
そのアプリを端末にインストールさせるためのインストーラーをInno Setup（Pascal言語）で作成しています。


### 発生している問題

Installerとアプリ、両方とも同じサーバーに対してhttps通信を行い接続するように実装しているのですが
実行する端末環境のセキュリティによってはInstallerからのhttps通信は正常に接続できるが
Javaアプリからhttps通信を実行した場合は「SSLHandshakeException」となる場合があります。

Installer側で成功しているだけに、Java側でエラーが発生する原因がまだつかめていない状況です。

勉強不足で恐れ入りますが、ご経験・知見のある方にご教示いただけますと幸いです。

よろしくお願いいたします。

###エラーメッセージ内容
以下のようにエラーメッセージが出力されていました。
Connection failed to the server: javax.net.ssl.SSLHandshakeException: Remote host terminated the handshake

https通信時に「SSLHandshakeException」となる場合とならない場合がある

## テーマ、知りたいこと

チェックサムファイルを使わずに、ダウンロードしたファイルがオリジナルと同一であるかどうかを確認する方法はありますか？

## 背景、状況

ファイルのダウンロード元サーバーでチェックサムファイルを提供していないためです。
当該ファイルがCSVファイル（テキストファイル）なので、確認する方法がないと思っています。
ZIPファイルなど、チェックサムを内包しているファイル形式であれば、ZIPのテストコマンドで整合性の確認は取れることは理解しています。
何か代替策があれば、お知恵をお貸しください。

社内システム間でデータ連携しています。
データの流れは、下記に示す通りシステムA → システムB（★）です。
私は業務システム部門に所属し、システムBを担当しています。

- 情報システム部門のシステムA（サーバー）
- 業務システム部門のシステムB（wgetでシステムAからファイルをダウンロード）

年1回あるかないかの頻度でダウンロードしたファイルが壊れることがあります。
このときはシステム障害となり対応しています。

情報システム部門に、チェックサムファイルの提供を依頼しましたが、なかなか実現しません。
情報システム部門の言い分としては、業務システム部門で発生している問題だから我々に非はない、なぜ情報システム部門が尻ぬぐいしないといけないのか？
とのことで、こういう回答がある時点で、話が進展しません。
情報システム部門と業務システム部門の共通の上位組織の偉い方に解決を依頼しても、現場で解決してほしいと取り扱ってくれません。
最後、愚痴になってしまいましたが、ご回答いただけたら嬉しいです。

追記
ちなみに情報システム部門からの提案は、同じファイルを２回ダウンロードして同じなら成功、異なるのなら失敗しているから成功するまで繰り返す。でした。なぜかとても悲しくなりました。


チェックサムファイルを使わずに、ダウンロードしたファイルがオリジナルと同一であるかどうかを確認する方法はありますか？

### Composerの使い方について 

最近PHPを学び始めた者です。SpotifyのAPIを使って、プレイリスト編集・作成などのアクティビティをタイムライン形式で表示させるWebアプリを作りたいと思っています。

[こちらからライブラリをインストールしました。](https://github.com/jwilsson/spotify-web-api-php)


こちらの[スタートガイド](https://github.com/jwilsson/spotify-web-api-php/blob/master/docs/getting-started.md)には、Composerの使用を想定していると書かれていたため、Composerをインストールし、以下のサンプルコードを実行しました。


### ソースコード
```PHP

<?php
require 'vendor/autolaoad.php';

$session = new SpotifyWebAPI\Session(
    'client id', 
    'client secret',
    'redirect uri'
);

$api = new SpotifyWebAPI\SpotifyWebAPI();

if (isset($_GET['code'])) {
    $session->requestAccessToken($_GET['code']);
    $api->setAccessToken($session->getAccessToken());

    print_r($api->me());
    echo "<h1>hello, world</h1>";
    print_r($session->getAccessToken());
    echo "<h1>hello, world</h1>";

} else {
    header('Location: ' . $session->getAuthorizeUrl(array(
        'scope' => array(
          'playlist-read-private', // プレイリスト取得
          'playlist-modify-private', // プレイリスト変更
          'user-read-private',
          'playlist-modify'
        )
    )));
    die();
}

?>
```

### エラーメッセージ
```
Warning: require_once(vendor/autolaoad.php): 
failed to open stream: No such file or directory in C:略~


Fatal error: require_once(): 
Failed opening required 'vendor/autolaoad.php' (include_path='C:\TECHBASE\__WatchOut__\XAMPP\php\PEAR') in 略~
```

### 試したこと
ググってComposerのセットアップの記事をいくつか読み、その通りにセットアップを行いました。コマンドラインにcomposer -vと入力すると、バージョン情報が表示されるので、インストールはできているのだと思います。

vendorディレクトリにある、autoload.phpというファイルがあるのは自分がインストールしたと思っていたところとは全く別のところに存在しているのですが、自分がインストールしたとおもった場所には存在していません。
ダメもとでその全く別の場所にあるvendorフォルダをコピーして持ってきてみましたが、エラーが出てしまいます。

オートロードを使わずに手動でrequireするファイルを指定するとエラーは出ませんでした。これから開発を進めるにあたってオートロードが必要になると思うので、オートロードができるようにしたいです。

初心者でエラーの原因もよくわからず困っています。vendorフォルダを正しくダウンロードできていないのでしょうか。それとも何か設定に不備があるのでしょうか。


ご回答をお待ちしております。

vendor/autoload.phpが見つかりません

### 前提・実現したいこと

JSONファイルをPHPコード上に読み込む際に下のようにファイルが読み込めないエラーが出てしまい解決に悩んでいます。

```
Warning: file_get_contents(sample.json): failed to open stream: No such file or directory in /var/www/html/index.php on line 55

```
というように「55 行目の /var/www/html/index.php にそのようなファイルまたはディレクトリはありません」と出ました。


### 該当のソースコード
該当箇所としては、「５５行目」の箇所から$file = file_get_contents('sample.json');が関係しているまで導き出せました。
```index.php
$file = file_get_contents('sample.json');
$prevention = mb_convert_encoding($file, 'UTF8', 'ASCII,JIS,UTF-8,EUC-JP,SJIS-WIN');
$json = json_decode($prevention, true);
```

### 試したこと
まず、エラー文に「ファイルまたはディレクトリはありません」とありますが、sample.jsonはPHPコードがあるindex.phpと同フォルダ同列にあるのでsample.jsonそのものがないからというのは考えられなかったです。
次に、調べたところ「存在しないURLを参照している場合がある」とあったとのことから、httpsを付け加えると推測し
```index.php
$filename = "http://sample.com/sample.json";
$file = file_get_contents($filename);
$prevention = mb_convert_encoding($file, 'UTF8', 'ASCII,JIS,UTF-8,EUC-JP,SJIS-WIN');
$json = json_decode($prevention, true);
```
と "http://sample.com/sample.json"を入れた$filenameをfile_get_contentsで読み込むことをしましたが、同様のエラー文が帰ってきまいした。

どなたか、解決策をお教えいただけないでしょうか？
よろしくおねがいします。

### 追記
回答していただいた方の通り、その後file_get_contentsの前に＠をつけるとそこの機能が停止するのみで根本的な解決には至れませんでした。
そこで、原因を調べたところコードを書いていたVSCode上でsample.jsonを移動させていたのみでsample.jsonのファイルそのものを移動していませんでした。そのためsample.jsonのファイルを移動させることでエラーが解消しました。
回答くださった方、ありがとうございます。

Warning: file_get_contents~: failed to open stream: No such file or directory~ を解決したい

先日、保険に入ろうと思っていつもお世話になっている保険会社の方に連絡を入れ資料説明等を受けていたのですが、その会社の顧客管理・営業用システムがWebを使ったシステムで、営業マンの方は、私が加入している保険や個人情報などをタブレット端末で確認しながら説明をして下さっていたのですが、ブラウザのurlがhttp://... になっていました。

インターネットには、小型のポケットルータを使って接続しているようでした。

この保険会社に関わらず、これまでにも社内システムをSSL無しで構築されているのをなんどか見たことがあり、その度に見なかったことにして「あっ、察し・・・」ということでそっと離れていくか、話の分かってもらえそうな人であれば「ちゃんとした方がいいと思いますよ」的なことをお伝えしてきたのですが、今回の場合、既に自分がその会社の保険に加入しており簡単にそっと離れていくということもできず、SSLに対応していないことについてどう伝えればよいのか困ってしまいました。

B2Cで公開されているようなサービスでSSL対応していないサービスを目にすることはまずありませんが、このようなインターネットを使う社内システムでSSLに対応していないサービスというのは世の中にたくさんありそうな気がしてぞっとしています。
現にこの保険会社も名前を出せば多くの方が知っている会社だと思います。

私の疑問点として以下の２点です。

１．そもそもインターネットを使う社内システムはSSL対応しなくても問題ないのでしょうか？
私の答えは「No,問題あり!」なのですが、日本の企業ではかなり多くの会社が社内システムをSSL化していないような気がしてきてむしろ自分の考えが間違っているんじゃないかと思えてきました。(個人情報とか別にSSL化しなくても対して問題ないんじゃないかという気さえしてきました)

私の認識ではSSLへの対応の有無は、その会社の経営の根幹にかかわる重要な問題だと思いますが、そこまで深刻に考えるようなことでもないのでしょうか。

２．１の答えが「No」であればこういった企業のSSL対応への指摘・要望はどのように進めるべきでしょうか？

こういう場合、一般的にはどのような流れで企業への要望を出すのが正しい姿なのでしょうか。

皆が気づいた時点で実名をあげたり、URLをネットにさらすというのも１つの手段だと思いますが、ちょっと乱暴ですし攻撃者を生む可能性もあるのでこれは方法として少し違うかなと思いました。

制度的な面に関しては、現状では法律などで「○○を扱う場合はSSL対応必須」というような規定はないと思います。
B2C等の一般的なWebサービスであれば外からもわかりますが、社内システムに関しては外部から伺い知ることのできない情報ですのでその会社の方針にゆだねられることになります。

指摘・要望に対する反応も企業によって様々なような気がしますが、同じような経験をされた方がもしいらっしゃいましたらぜひご意見を頂ければと思います。

社内システムがHTTPで運営されている企業へのHTTPS化の指摘・要望はどのようにするべきでしょうか？

###問題
勉強がてらプロキシサーバーのSquidを入れて、プログラムからそのプロキシ経由でリクエストを飛ばすと
以下のようなHTMLが返却される。

```ここに言語を入力
ERROR

The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: https://{接続先ホスト}/*

URI Host Conflict
This means the domain name you are trying to access apparently no longer exists on the machine you are requesting it from.

Some possible problems are:

The domain may have moved very recently. Trying again will resolve that.
The website may require you to use a local country-based version. Using your ISP provided DNS server(s) should resolve that.
```

###環境情報
ローカルの仮想環境にプロキシを入れている。
【ホストOS】
Windows 10
192.168.137.1

【ゲストOS】
CentOS Linux release 7.4.1708
192.168.137.39

【プロキシサーバー】
Squid 3.5.20

###補足情報
- Squidはyumでインストールした
- HTTPポート(3128)とHTTPSポート(3129)を受け付けるようにファイアウォールで設定した
- 通信プログラムの実行はホストOSで行っている
- HTTPでは成功している
- SSLの証明書は自己署名

###squid.conf
まだ良く分かっていないので、元々あったものを結構残しています。
```
acl localnet src 192.168.137.0/24

acl SSL_ports port 443 3129
acl Safe_ports port 80		# http
acl Safe_ports port 443		# https
acl Safe_ports port 1025-65535  # unregistered ports
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager localnet
http_access deny manager

http_access allow localnet
http_access allow localhost

http_access deny all

visible_hostname my-host-name

http_port 3128
https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/cacert.pem key=/etc/squid/ca.key

ssl_bump bump all
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/db/ssl_db -M 4MB

coredump_dir /var/spool/squid

refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|?) 0	0%	0
refresh_pattern .		0	20%	4320

dns_nameservers 192.168.137.1

logformat squid [%{%Y/%m/%d.%H:%M:%S}tl] %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt

```

###access.log
```ここに言語を入力
// HTTPで通信した場合は以下の１行が出力されて成功する。
192.168.137.1 TCP_TUNNEL/200 7137 CONNECT {接続先ホスト}:443 - HIER_DIRECT/23.100.101.120 -

// HTTPSで通信した場合は以下の２行が出力されて失敗する。
192.168.137.1 TAG_NONE/200 0 CONNECT 192.168.137.39:3129 - HIER_NONE/- -
192.168.137.1 TAG_NONE/409 4156 CONNECT {接続先ホスト}:443 - HIER_NONE/- text/html
```

---
サーバーとネットワークが苦手なので、勉強のためにググりながらやってましたが、
どうにも詰まってしまいました。。。
心当たりがある方いましたら、どうぞご助力ください。