入力ページのSSL化を進める

2014年5月10日

インターネットエクスプローラーにSmartScreenフィルター機能が、付いている。
このSmartScreenフィルター機能は、フィッシング詐欺対策で、インターネットエクスプローラーが危ないと指定したページは、表示しない様に警告ページを表示する。
マイクロソフトのWindowsの説明ページ
http://windows.microsoft.com/ja-jp/internet-explorer/products/ie-9/features/smartscreen-filter
自分のページが警告ページなると、悲しいよね。
そこで、マイクロソフトの説明を読む。
SmartScreen フィルター: 管理者および Web サイト所有者向け情報
http://windows.microsoft.com/ja-jp/windows-vista/SmartScreen-Filter-Information-for-administrators-and-website-owners
SmartScreenの警告を最小限にする方法
1.ユーザーが入力するページは、SSLで暗号化が必要
　　⇒　SSLを使う
2.Web ページがクロスサイト スクリプト (XSS) 脆弱性を露呈していないこと
　　⇒　使っているCGI確認する。例えば、<と入力すると、＜に変換して表示する。 3.完全修飾ドメイン名を使用します 　　⇒　http://sandoh.net/と表示している。 4.URL の完全修飾ドメイン名の前に "@" 記号を使用しない。 　　⇒　入れていない 5.URL を不必要にエンコードしたりトンネルを使用したりしない。 　　⇒　 URLに、%○○○%○○○%○○○の％など入っていない 6.外部コンテンツまたはサード パーティによってホストされているコンテンツを投稿する場合、コンテンツがセキュリティで保護されており、既知の発信元または信頼できる発信元からのものであることを確認します。 　　⇒コンテンツの投稿は受け付けていない。 と言うことで、当店で関係するところは、1の入力するページは、SSLで暗号化だ。 当店のページに、入力ページが有る。 この入力ページをSSL化する必要だ。 SSLは、独自SSLと共有SSLが有る。 独自SSLは、共有SSLよりとっても費用が必要だ。 と言うことで、共有SSLで進める。 ただ今、入力ページを共有SSL化を進めています。 山洞金物店