認証画面がHTTPで,FORMのACTIONに”https://****.asp”となっている場合,入力したIDやパスワードは暗号化されたパケットとしてネット上を流れるのでしょうか?なんとなく素のまま流れるように思えて気になっています.ルータを監視できないのでどなたか詳しい方のご教授をお願いします.

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2004/01/14 15:38:18
  • 終了:--

回答(4件)

id:konno00 No.1

konno00回答回数33ベストアンサー獲得回数02004/01/14 15:49:19

ポイント10pt

URLはダミーです

基本的に平文ですね。httpsに入った後なら別ですが、http→httpsに行くまでの間は、暗号化されません。

id:daemon

認証画面からSSLを使っててくれるといいんですけどね.

普通に考えるとそうなのですが.

POSTされる先がhttpsなのですが,送るときにはすでに暗号化されているのかなとも感じるわけで.

httpsでつながってからサーバー側にQUERY_STRINGを求められるのかな,とも思えるわけで.

そう考えるとデータの流れの説明がほしいです.

NICを監視できると良いのですが,そういうフリーソフトってないでしょうか?

2004/01/14 16:13:31
id:bouboucha No.2

bouboucha回答回数42ベストアンサー獲得回数02004/01/14 16:52:55

ポイント20pt

パケットを全部見てみたいときの定番はこれかな?

これで結果を絞り込んで確認すればいけるかも。

id:daemon

これは硬派な感じですね.

早速トライしてみます.

2004/01/14 16:55:17
id:green_lab No.3

green_lab回答回数11ベストアンサー獲得回数02004/01/14 17:05:48

ポイント10pt

URLはパケットモニターを行うソフトです。

1の人が答えてはいるのですが、HTTPによる認証画面で入力されたIDとパスワードは、暗号化されることなくデータが送信されます。

ですので、認証画面もHTTPSにすることをお勧めします。

id:daemon

 認証画面もHTTPSというのは非常に安心感のあるところなのですが,それは提供側の問題でして,ここで提起した疑問というのはPOSTする先のACTIONがHTTPSの時に,送信データが暗号化されているかどうかなのです.

 で,回答2で薦められたパケット監視ソフトで確認したところ,POSTされたデータも何もかもがSSLで暗号化されているようでした.

これは私の先入観を覆すものなのですが,当たり前といえば当たり前のようでもあります.

つまり,現在の画面を表示させたHTTPを出したサーバーと,ACTIONで指定したサーバーは別物でも良いわけですから,入力データを送信されるサーバーには指定のプロトコルであるHTTPSがあるわけで,HTTPなどまったく関係ないということのようです.

 そういうことなら”はてな”の質問登録の時にもいちいち”セキュア(SSL)”を選択しなくても,ACTIONで

https://www.hatena.ne.jp/sslenterq

を指定してくれていたら,パスワードも暗号化されて利用者も負担が減る!というわけかな?

2004/01/14 17:47:07
id:mi-si No.4

mi-si回答回数207ベストアンサー獲得回数02004/01/14 17:35:53

ポイント30pt

http://www.atmarkit.co.jp/aig/02security/https.html

セキュリティ用語事典[HTTPS]

プロトコルがhttpsの場合暗号化されたデータが流れています。このケースでは、フォームのデータはhttpsプロトコルで送られているのでこの場合は暗号化されていると思います。しかし、SSLの最初の暗号キーの交換の部分のパケットをさぐられると暗号を解除できてしまうので、一度httpsセッションに入ってからデータを送付した方がより安全なんですよね・・・。

id:daemon

おそらくこの回答が技術面でも運用面でもばっちりのものだと思えます.

これで私が登録されているサイトの運用側にピシャリと言えそうです.

ありがとうございます.

2004/01/14 17:51:38
  • id:ptamago
    鍵の交換

    この質問は非常にきになります。
    最後の回答はどうなんでしょう。
    鍵(共通鍵)を交換する前に、鍵自体が(公開鍵)で暗号化
    されて渡されると思うのですが・・・
    ということは、いきなりhttpsでOKということになりますね。
  • id:daemon
    Re:鍵の交換

     最後の回答4は確認したくても私の脳ミソではまったく力が及びません.
     ptamagoさんの”いきなりhttpsでOK”というのは,認証画面がhttpでもactionがhttpsならデータはいきなり解読されないレベルで暗号化されるっていうことを言っているのでしょうか?ともかくこういうことに知識がないのがとても恥ずかしいです.

     結局,運用側に回答4でのことを伝えたところ,通じませんでした...
  • id:ptamago
    Re(2):鍵の交換

    暗号化とそれを復号化するには鍵が必要です。
    この鍵の種類には大雑把いうと2種類あります。
    ・共通鍵方式
      両方で同じ鍵を持つ
      利点 暗号化・復号化が高速
      欠点 鍵自体がばれると盗聴される。
    ・公開鍵方式
      公開鍵を秘密鍵の2種類があり、対で1セット
      公開鍵で暗号化したものは、対になる秘密鍵でないと開けない。
      逆も同じ
      利点 公開鍵自体では復号化でにないため、セキュア。従って、
         公開鍵は万人に公開できる。^_^
    欠点 暗号化・復号化に時間がかかる。
    でSSLは、これらの欠点を補うために
      ・SSLを暗号化・復号化するために鍵は共通鍵を使う。
      ・その鍵自体の送付は、公開鍵で行う。
    となっていますので、通常の使用では、鍵の送付自体も暗号化
    されているのでhttpsで問題無いということになりますね。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません