sslについての質問というか確認です。

httpsからhttpsにデータを送るプログラムがあるんですが、前httpsから来たことを証明するのにHTTP_REFERERでも、sslさえつけとけば完璧!といっていましたが本当ですか?
セッションならまだしもHTTP_REFERERは改変できるから絶対無理だと思うんですが…自分もそこまでsslに精通しているわけではないので曖昧な感じです。
sslでHTTP_REFERERの改変を防ぐ、なんてことできないですよね?

HTTP_REFERERは完璧じゃない、ということなら先輩を説得しないといけないので
絵つきの参考サイトとか絵つきの本とかあると助かります。

回答の条件
  • 1人2回まで
  • 登録:2008/02/13 11:01:29
  • 終了:2008/02/13 15:39:20

ベストアンサー

id:tezcello No.1

tezcello回答回数459ベストアンサー獲得回数692008/02/13 11:40:48

ポイント50pt

HTTP_REFERER はブラウザの自己申告なはずので、全然信用できないと思いますが?


> httpsからhttpsにデータを送るプログラム

SSLなページで、form などを表示させておいて、別のSSLなページにサブミットするって事でしょうか?

SSLなサイトの作り方で違うでしょうけど、サーバが詐称されたものでない事や、そのサーバから送られてきたデータが改竄されていない、サーバへ送ったデータが途中で盗み見されない...ってのが基本の機能ではないでしょうか?

ですから、クライアント側が信用できるかどうかをこれらでは証明できません。

SSLなページに入ってから、ID,パスワードで認証処理をし、クッキー、セッション、フォーム内に埋め込む、URIに付加するなどでクライアントを特定するのが常套手段ではないでしょうか?

id:tukihatu

ありがとうございます。

>SSLなページで、form などを表示させておいて、別のSSLなページにサブミットするって事でしょうか?

そういうことです。前httpsページにidpassで入ると、入力フォームがあってそこから処理用のプログラムに飛ばす仕組みです。

常套手段を提案したらつっぱねられました^^;

やっぱりHTTP_REFERERじゃ無理ですよね…説得します。

2008/02/13 12:06:43

その他の回答(1件)

id:tezcello No.1

tezcello回答回数459ベストアンサー獲得回数692008/02/13 11:40:48ここでベストアンサー

ポイント50pt

HTTP_REFERER はブラウザの自己申告なはずので、全然信用できないと思いますが?


> httpsからhttpsにデータを送るプログラム

SSLなページで、form などを表示させておいて、別のSSLなページにサブミットするって事でしょうか?

SSLなサイトの作り方で違うでしょうけど、サーバが詐称されたものでない事や、そのサーバから送られてきたデータが改竄されていない、サーバへ送ったデータが途中で盗み見されない...ってのが基本の機能ではないでしょうか?

ですから、クライアント側が信用できるかどうかをこれらでは証明できません。

SSLなページに入ってから、ID,パスワードで認証処理をし、クッキー、セッション、フォーム内に埋め込む、URIに付加するなどでクライアントを特定するのが常套手段ではないでしょうか?

id:tukihatu

ありがとうございます。

>SSLなページで、form などを表示させておいて、別のSSLなページにサブミットするって事でしょうか?

そういうことです。前httpsページにidpassで入ると、入力フォームがあってそこから処理用のプログラムに飛ばす仕組みです。

常套手段を提案したらつっぱねられました^^;

やっぱりHTTP_REFERERじゃ無理ですよね…説得します。

2008/02/13 12:06:43
id:b-wind No.2

b-wind回答回数3344ベストアンサー獲得回数4402008/02/13 12:58:21

ポイント35pt

無理ですね。そもそも SSL とは何の関係もないし。

当たり前すぎてSSLに対して特記しているサイトもほぼないと思います。


リファラ偽装

適当に検索した結果ですが、検索結果に出てきたツールを使って実践してみては?

id:tukihatu

ありがとうございます。

いやー、結構できる先輩だからもしかしたらと…

説得成功しました。感謝です。

2008/02/13 15:38:46

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません