Road To Nowhere

主にWebまわりのエンジニア的なお仕事に関するようなことのあれこれ。

httpからhttpsへのpostってセキュア?

技術メモ

今日調べものをしていて、疑問に思ったことがあったのでメモ。


http://allabout.co.jp/gs/individualtravel/closeup/CU20090130A/
ふむふむ。無一文になってもなんとかなるもんだ・・・


じゃなくて、このページの真ん中より下の方にアンケートフォームがある。
で、「確認する」っていうボタンを押すと、別ウィンドウの確認画面がたちあがる。
アンケートフォームはhttp。
確認画面はhttps


以下、最初思ったこと。

これってセキュアじゃないよね?
httpsのページへのリクエストは暗号化されてないよね?


でも、「確認する」ボタンの下には

※上記の内容はSSL(Secure Socket Layer)によって保護された状態でAll Aboutのサーバーに送信されます。

って自信満々に書いてある。


そこで改めて調べてみる。
暗号化されていない、httpのページから、 SSL通信のhttpsへPOST… - 人力検索はてな
http://muumoo.jp/news/2007/07/07/0ie7submit.html
問題がないわけではないが、httpのページからでもhttpsへのpost内容は暗号化されているようだ。


アンケートフォームから確認画面への遷移をLiveHTTPHeadersで見てみた。

https://se.allabout.co.jp/enq_log/questionnaire/questionnaire.php

POST /enq_log/questionnaire/questionnaire.php HTTP/1.1
Host: se.allabout.co.jp
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate
Accept-Charset: Shift_JIS,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://allabout.co.jp/gs/individualtravel/closeup/CU20090130A/index2.htm
Cookie: __utma=177926773.3512015157398446600.1233675204.1233675204.1233677303.2; __utmz=177926773.1233675204.1.1.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=all%20about; Apache=218.217.158.122.1233675474468919; __utmc=177926773; __utmb=177926773.1.10.1233677303
Content-Type: application/x-www-form-urlencoded
Content-Length: 3386
present=on&a_0=%8EQ%8Dl%82%C9%82%C8%82%C1%82%BD&a_1=%91%BC%82%CCAllAbout%82%CC%83y%81%5B%83W%81E%83%81%83%8B%83%7D%83K%82%A9%82%E7&a_2=%94%F1%8F%ED%82%C9%8B%BB%96%A1%82%AA%82%A0%82%E9&a_3=%8C%A9%82%BD%82%B1%82%C6%82%CD%82%C8%82%A2&a_4=%8AC%8AO%97%B7%8Ds%82%CD%82%B5%82%C8%82%A2&a_5=%83K%83C%83h%83u%83b%83N&a_note=%82%E6%82%A9%82%BD%82%C5%82%B7%81B&a_sex=%92j%90%AB&a_age=27&a_family=%96%A2%8D%A5%81i%82%BB%82%CC%91%BC%81j&a_email=hogehoge%40email.com&enddate=20991231&originalpage=http%3A%2F%2Fallabout.co.jp%2Fgs%2Findividualtravel%2Fcloseup%2FCU20090130A%2Findex2.htm&questionnaireid=ss_enq_individualtravel(略)
HTTP/1.x 200 OK
Date: Tue, 03 Feb 2009 16:20:51 GMT
Server: AllAbout/1.0.0
Cache-Control: max-age=3600
Expires: Tue, 03 Feb 2009 17:20:51 GMT
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html
X-Pad: avoid browser bug

                                                                                                                  • -

なんか
&a_email=hogehoge%40email.com
って見えちゃってるけど・・・と思ったらLiveHTTPHeadersは復号化して表示しているとのこと。


うーん、どうやって暗号化されているのを確認したらいいんだろう?
続く(かも・・・)