人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

【メールアドレス流出対策】データベースに保存されているメールアドレスを流出させないために、出来ることを教えて下さい。

DB:共用レンタルサーバのDB(MYSQL)
Email:「xxx@yyy.zzz」に送信された携帯からのメールをPHP(mimeDecode.php)で解析して、アドレスを自動でDBに登録
現在は、上記のようにデータを蓄積しており、
登録されているメールアドレスにはお知らせメールが定期的に送られます。

上記のことを踏まえて回答していただけるとありがたいですが、この機会にどのような対策があるか、網羅的に知っておきたいので、取り得る全ての対策を教えて貰えたらと思っています。
はてな会員の皆様、よろしくお願いします。

※お奨めな本があれば、それでも良いのでURLを貼って下さい。

●質問者: fashion0208
●カテゴリ:コンピュータ ウェブ制作
✍キーワード:dB MySQL PHP URL お奨め
○ 状態 :終了
└ 回答数 : 4/4件

▽最新の回答へ

1 ● pahoo
●50ポイント ベストアンサー

思いついたことを列挙します。

  1. DBファイル本体はWebサーバの管理外(httpd.confで指定されていない)のディレクトリに配置する。
  2. DBにアクセスできるPHPスクリプトは、ログインパスワードを設けるなどして、第三者に利用できないようにする。また、SQLインジェクション対策を施す。
  3. DBログインID、パスワードを記述したPHPスクリプトは1本のincludeファイルにする(ID、パスワードを記したファイルを幾つも作らない)。このファイルは、.htpasswd などによりログイン認証が必要であるようなセキュアなディレクトリに配置する。
  4. 格納するメールアドレスを暗号化する。たとえば公開鍵暗号方式の公開鍵で暗号化しておき、秘密鍵は質問者のローカルPCに置いておきます。手動でメール送信指示を行い、その都度、秘密鍵をサーバへ送ります。

いずれにしても、「絶対に漏れない」という対策はありません。そこで、下記の対策も必要です。

  1. DBへのアクセスログを保管する。
  2. Webサーバのアクセスログを保管する。
  3. 携帯サイトにプライバシーポリシーを明記し、免責条項を明記しておく。

また、メールを自動配信するというのはサイト運営を省力化できて便利なのですが、乗っ取られた際のリスクを考えると、送信指示だけは手動で行った方が安全だと思います。

◎質問者からの返答

>pahoo様

お世話になってますm(_ _)m

非常に参考になりました。早速4番を試してみます!

(追記)

http://f.hatena.ne.jp/images/fotolife/f/fashion0208/20080508/200...

上のような感じにしたらどうでしょう。

サーバ2を断定することは可能でしょうか。


2 ● pahoo
●50ポイント

サーバ2を断定することは可能でしょうか。

不可能であることを証明することは困難ですが、少しでもリスクを軽減するために、Emailアドレス取得用PHPとの通信はSSLで行うことをお勧めします。

◎質問者からの返答

有り難う御座います。

SSLについても検討します。

ところでSQL-DBでSSLって使えるんですかね。


3 ● ken33jp
●5ポイント

DBに保存するときに暗号化して格納しておく。

◎質問者からの返答

有り難う御座います。


4 ● fukakun
●40ポイント

なかなか難しい質問ですが…

メール流出対策というよりも、脆弱性やつまらないバグを回避するための工夫ですよね。

いろいろありそうですが…下記などは参考にできるネタがまとまっていそうです。

プログラムの脆弱性について

データベースの脆弱性について

◎質問者からの返答

有り難う御座います。

今からじっくり読んでみます!

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ