人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

認証画面がHTTPで,FORMのACTIONに”https://****.asp”となっている場合,入力したIDやパスワードは暗号化されたパケットとしてネット上を流れるのでしょうか?なんとなく素のまま流れるように思えて気になっています.ルータを監視できないのでどなたか詳しい方のご教授をお願いします.

●質問者: daemon
●カテゴリ:コンピュータ
✍キーワード:ASP HTTP HTTPS ネット パケット
○ 状態 :終了
└ 回答数 : 4/4件

▽最新の回答へ

1 ● konno00
●10ポイント

http://www.yahoo.co.jp/

Yahoo! JAPAN

URLはダミーです

基本的に平文ですね。httpsに入った後なら別ですが、http→httpsに行くまでの間は、暗号化されません。

◎質問者からの返答

認証画面からSSLを使っててくれるといいんですけどね.

普通に考えるとそうなのですが.

POSTされる先がhttpsなのですが,送るときにはすでに暗号化されているのかなとも感じるわけで.

httpsでつながってからサーバー側にQUERY_STRINGを求められるのかな,とも思えるわけで.

そう考えるとデータの流れの説明がほしいです.

NICを監視できると良いのですが,そういうフリーソフトってないでしょうか?


2 ● bouboucha
●20ポイント

http://www.space-peace.com/ethereal/

Etherealを使おう

パケットを全部見てみたいときの定番はこれかな?

これで結果を絞り込んで確認すればいけるかも。

◎質問者からの返答

これは硬派な感じですね.

早速トライしてみます.


3 ● green_lab
●10ポイント

http://wind-master.dip.jp/soft-info/spm/

URLはパケットモニターを行うソフトです。

1の人が答えてはいるのですが、HTTPによる認証画面で入力されたIDとパスワードは、暗号化されることなくデータが送信されます。

ですので、認証画面もHTTPSにすることをお勧めします。

◎質問者からの返答

認証画面もHTTPSというのは非常に安心感のあるところなのですが,それは提供側の問題でして,ここで提起した疑問というのはPOSTする先のACTIONがHTTPSの時に,送信データが暗号化されているかどうかなのです.

で,回答2で薦められたパケット監視ソフトで確認したところ,POSTされたデータも何もかもがSSLで暗号化されているようでした.

これは私の先入観を覆すものなのですが,当たり前といえば当たり前のようでもあります.

つまり,現在の画面を表示させたHTTPを出したサーバーと,ACTIONで指定したサーバーは別物でも良いわけですから,入力データを送信されるサーバーには指定のプロトコルであるHTTPSがあるわけで,HTTPなどまったく関係ないということのようです.

そういうことなら”はてな”の質問登録の時にもいちいち”セキュア(SSL)”を選択しなくても,ACTIONで

https://www.hatena.ne.jp/sslenterq

を指定してくれていたら,パスワードも暗号化されて利用者も負担が減る!というわけかな?


4 ● mi-si
●30ポイント

http://www.atmarkit.co.jp/aig/02security/https.html

セキュリティ用語事典[HTTPS]

プロトコルがhttpsの場合暗号化されたデータが流れています。このケースでは、フォームのデータはhttpsプロトコルで送られているのでこの場合は暗号化されていると思います。しかし、SSLの最初の暗号キーの交換の部分のパケットをさぐられると暗号を解除できてしまうので、一度httpsセッションに入ってからデータを送付した方がより安全なんですよね・・・。

◎質問者からの返答

おそらくこの回答が技術面でも運用面でもばっちりのものだと思えます.

これで私が登録されているサイトの運用側にピシャリと言えそうです.

ありがとうございます.

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ