人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

sslについての質問というか確認です。
httpsからhttpsにデータを送るプログラムがあるんですが、前httpsから来たことを証明するのにHTTP_REFERERでも、sslさえつけとけば完璧!といっていましたが本当ですか?
セッションならまだしもHTTP_REFERERは改変できるから絶対無理だと思うんですが…自分もそこまでsslに精通しているわけではないので曖昧な感じです。
sslでHTTP_REFERERの改変を防ぐ、なんてことできないですよね?

HTTP_REFERERは完璧じゃない、ということなら先輩を説得しないといけないので
絵つきの参考サイトとか絵つきの本とかあると助かります。

●質問者: 牛乳先生(tukihatu)
●カテゴリ:コンピュータ ウェブ制作
✍キーワード:HTTPS HTTP_REFERER SSL サイト セッション
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● tezcello
●50ポイント ベストアンサー

HTTP_REFERER はブラウザの自己申告なはずので、全然信用できないと思いますが?


> httpsからhttpsにデータを送るプログラム

SSLなページで、form などを表示させておいて、別のSSLなページにサブミットするって事でしょうか?

SSLなサイトの作り方で違うでしょうけど、サーバが詐称されたものでない事や、そのサーバから送られてきたデータが改竄されていない、サーバへ送ったデータが途中で盗み見されない...ってのが基本の機能ではないでしょうか?

ですから、クライアント側が信用できるかどうかをこれらでは証明できません。

SSLなページに入ってから、ID,パスワードで認証処理をし、クッキー、セッション、フォーム内に埋め込む、URIに付加するなどでクライアントを特定するのが常套手段ではないでしょうか?

◎質問者からの返答

ありがとうございます。

>SSLなページで、form などを表示させておいて、別のSSLなページにサブミットするって事でしょうか?

そういうことです。前httpsページにidpassで入ると、入力フォームがあってそこから処理用のプログラムに飛ばす仕組みです。

常套手段を提案したらつっぱねられました^^;

やっぱりHTTP_REFERERじゃ無理ですよね…説得します。


2 ● b-wind
●35ポイント

無理ですね。そもそも SSL とは何の関係もないし。

当たり前すぎてSSLに対して特記しているサイトもほぼないと思います。


リファラ偽装

適当に検索した結果ですが、検索結果に出てきたツールを使って実践してみては?

◎質問者からの返答

ありがとうございます。

いやー、結構できる先輩だからもしかしたらと…

説得成功しました。感謝です。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ