Takayoshi Kimura
takay****@gmail*****
2011年 7月 3日 (日) 22:08:07 JST
きむらです。 もしご存知の上で対策を含めそれを実装しようとしているのであれば問題ないのですが、知らない人も居ると思うので念のため。 同一アプリケーション空間にhttpとhttpsの両方からアクセスできる構成、というのはセキュリティアンチパターンの一つであり、なるべく避けるべきです。 http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/304.html httpでやりとりされる情報は漏洩の可能性が非常に高いですが、逆にhttpsはそれを防ぐものです。その上で、アプリケーションでhttpからhttpsに安易に情報を渡して利用するようなことをしてしまうと、この前提は簡単に壊れます。 扱っている入力がhttp/httpsのどちらから渡されて、信用できるのかどうか、という検証を全ての入力に対し漏れなく実装できていれば問題はないのですが、これにはアプリケーション実装の全体に渡り細心の注意が必要となります。安易に採用すべき構成ではないでしょう。基本的には同一アプリケーションにhttp/https両方でアクセスできるような構成はとらない、というのが無難です。先のURLにも書いてありますが、「混ぜるな危険」です。 Regards, Takayoshi 2011/7/3 Caritas Caritas <carit****@gmail*****>: > はじめまして、斉藤と申します。 > > SSLの設定で困っています。 > プレゼンテーション層にWicketを利用した場合、「ページ単位」 > でHTTP通信とHTTPS通信を切り替えることは可能でしょうか? > > 具体的には、Webアプリケーションにおいてパスワード情報を送 > 信するページのみをHTTPSで通信するといったことを実現したい > と考えています。 > > HTTP通信とHTTPS通信が混在すると、ページ間におけるセション > の引継ぎができないところまで把握出来ています。 > 同様の課題を解決された方が居られましたらご教授ください。 > > 環境 > クライアント > ブラウザ IE 8 > サーバ > WebAPサーバ tomcat7 > JDK 1.6 > Wicket 1.4.17 > > よろしくお願い致します。 > ----------------------------------- > carit****@gmail***** > _______________________________________________ > Wicket-ja-user mailing list > Wicke****@lists***** > http://lists.sourceforge.jp/mailman/listinfo/wicket-ja-user > >
