Scribble at 2020-08-19 18:36:37 Last modified: unmodified

サーバ A からサーバ B に機密情報を渡して、その情報に連携させてサーバ B で生成した戻り値を一緒にサーバ A へと戻す。サーバ A でフォームに情報を入力してから、サーバ B の戻り値を使ってフォームのユーザにタイムラグが大きくならないようレスポンスするなら、フォームで入力してる最中に、その機密情報(メールアドレスとか)をタイプし終わったタイミングで Ajax のリクエストをサーバ B に投げるのがよさそう。ただし、その場合はクロスドメインとなるので、サーバ B の PHP とかでは header("Access-Control-Allow-Origin: *"); を先頭に追加しないといけない。それからサーバ B には機密情報を投げるのだから、HTTPS は当然だろう。

このとき、サーバ B へのリクエストに POST の値として機密情報を追加するわけだけど、このペイロードを openssl 関数とかで暗号化(あるいはサーバ A で元の値との関連付けが維持されるなら一方向関数によるハッシュ化でもいい)しておくべきかどうかは、かなり疑問がある。やりすぎというよりも、寧ろ「セキュリティ劇場」の疑いがある。中間者攻撃が成功でもしない限り、HTTPS での通信を使っていればペイロードは保護されるからだ。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る

※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook