msg# 1
これからXoopsでお問い合わせページを含むサイトの構築を検討している初心者です。
お問い合わせページのみSSLに対応させたいのですが、可能でしょうか?
以前通常のHTMLで同様のページを作った時には、お問い合わせページをSSLサーバーに置いて、そこにリンクする事で実現しましたが、Xoopsだとリンクを設定する作業がないようなので、疑問に思い質問しました。
機能的に問題なく実現できるならば、XOOPSと共用SSLの使用できるサーバーを契約する予定です。
初歩的な質問で恐縮ですが、よろしくお願いします。
投票数:0
平均点:0.00
msg# 1.1
jidaikobo です。
引用:
chattranさんは書きました:
お問い合わせページのみSSLに対応させたいのですが、可能でしょうか?
以前通常のHTMLで同様のページを作った時には、お問い合わせページをSSLサーバーに置いて、そこにリンクする事で実現しましたが、Xoopsだとリンクを設定する作業がないようなので、疑問に思い質問しました。
機能的に問題なく実現できるならば、XOOPSと共用SSLの使用できるサーバーを契約する予定です。
レンタルサーバの共用 SSL の形にもよると思うんですが、CPI みたいなかたちで
+ public_html (公開領域)
+ public_html_ssl (ここにおくと SSL)
で、http://example.com/ を
https://example.com/ にするといけるみたいなかたちだと、XOOPS の場合だと、どうやるのか、ちょっとわかりません(擬似的にふたつのサイトを作って mailfile.php で、DB を共有したりするのかしら?)。
共有 SSL でも、public_html に全部置いておいて、http://example.com/ を
https://ssl.example.ne.jp/example.com/ にしたらつながるようにする、とかいうやつだったら、mainfile.php をいじったりしたら、特定のページで xoops_url を書き換えて、ssl で通るようにする、ということは可能だと思います。
具体的には Google で検索すると、いろいろ出てきますよ。
-
xoops ssl - Google 検索■使用上の注意
ときどき堂々と間違ったことを言っちゃうので、数日、寝かしておいて、それは違うぜという書き込みがなかったら、大丈夫だと思います。
投票数:0
平均点:0.00
msg# 1.2
jidaikoboさん、こんにちは。
アドバイスありがとうございます。
でも、またまたよくわかりません。
CPIみたいな形って、、、?
利用を考えていたサーバーの共有SSLの使用の仕方ですが、指定された領域にSSLにしたいファイルをアップして使うとの事です。
http://heteml.jp/support/manual/ssl/例にあるように、CGIならば、そのファイルとそれに関連するファイルをアップすれば良いとわかるのですが、Xoopsだとモジュール単位であり、しかもモジュールは指定されたフォルダーに置かないとインストールできないようなので、その辺が感覚的に非常にわからないんです。
説明が上手く出来ないのですが、その辺りのアドバイス引き続きお願い出来ればありがたいです。
ちなみにGoogleの検索ざっと目を通しましたが、現状ではまだ理解力が伴っていないようです。
よろしくお願いします。
投票数:0
平均点:0.00
msg# 1.2.1
前の投稿
-
次の投稿
|
親投稿
-
子投稿なし
|
投稿日時 2009-2-17 16:49 |
最終変更
jidaikobo@仕事逃避モードです
引用:
chattranさんは書きました:
でも、またまたよくわかりません。
CPIみたいな形って、、、?
っていうレンタルサーバ屋さんがあるんです。
そこの SSL の仕様がそのようになっていたので(べつにその仕様が劣っているという訳ではないですよ)。
引用:
利用を考えていたサーバーの共有SSLの使用の仕方ですが、指定された領域にSSLにしたいファイルをアップして使うとの事です。
http://heteml.jp/support/manual/ssl/
例にあるように、CGIならば、そのファイルとそれに関連するファイルをアップすれば良いとわかるのですが、Xoopsだとモジュール単位であり、しかもモジュールは指定されたフォルダーに置かないとインストールできないようなので、その辺が感覚的に非常にわからないんです。
ヘテムルは使ったことがないのでわからないんですが、掲示いただいたアドレスによれば、非 CPI 方式だと思います。
だから、ふつうに公開フォルダにアップして、ちょっと URL をいじると、同じファイルを SSL で閲覧するという仕組みだと思います。
「感覚的」というのは、僕もお気持ちはわかるんですが、このあたりは習うより慣れろみたいなところもあるので、ある程度は授業料だと思ってやってみるのがいいように思います。普通のファイルをおいて、ヘテムルのマニュアルに従って、SSL 通信してみてはいかがでしょう?
引用:
ちなみにGoogleの検索ざっと目を通しましたが、現状ではまだ理解力が伴っていないようです。
どのページをご覧になったかはわかりませんが、XOOPS で SSL やろうとおもったら、たぶんさけて通れない部分になると思います。
とくに mainfile.php の書き換えは必須(というか、サイト全部を SSL にするなら、そこだけ)なので、読書百遍岩をも通す(違)の姿勢でトライしてみてください。
というわけで、仕事に戻ります。
投票数:0
平均点:0.00
msg# 1.1.1
引用:
jidaikoboさんは書きました:
レンタルサーバの共用 SSL の形にもよると思うんですが、CPI みたいなかたちで
+ public_html (公開領域)
+ public_html_ssl (ここにおくと SSL)
で、http://example.com/ を https://example.com/ にするといけるみたいなかたちだと、XOOPS の場合だと、どうやるのか、ちょっとわかりません(擬似的にふたつのサイトを作って mailfile.php で、DB を共有したりするのかしら?)。
CPIの高い方のプランだと、SSHが使えるので、
ln -s public_html public_html_ssl
みたいにシンボリックリンクを貼っちゃえば同じファイルで行けちゃいますね。
投票数:0
平均点:0.00
msg# 1.1.1.1
引用:
tohokuaikiさんは書きました:
CPIの高い方のプランだと、SSHが使えるので、
ln -s public_html public_html_ssl
みたいにシンボリックリンクを貼っちゃえば同じファイルで行けちゃいますね
あ、そうか。シンボリックリンクがつかえたら、そういう手がありますね。
投票数:0
平均点:0.00
msg# 1.1.1.1.1
え~、皆さんいろいろいありがとうございます。
とりあえず、やってみることですね。
早速テストサーバーサーバーを借りて、テストしてみます。
またわからなくなったらお聞きしますので、その時はよろしくお願いします。
投票数:0
平均点:0.00
msg# 1.3
sonic
登録日: 2007-10-7
投稿数: 23
横レスで申し訳ありませんが、自分もCPIのSSL対応に頭を悩ませております。
SSHが使えない方のプランです。
CPIはこのサイトのレン鯖放浪記にもあるように、利用されている人も多いようですが、SSL対応となると情報は皆無。
jidaikoboさんがご指摘のようにクセがあって、secureという専用のディレクトリに入れないとSSL対応になりません。構造としてこんな感じです。
html
xoops_trust_pass
secure(ここに入れたデータがSSLになるhttps://~)
レアケースかもしれませんが、SSLの情報は少ないので、もし可能な方法があるのであれば教えていただきたいです。
投票数:0
平均点:0.00
msg# 1.3.1
jidaikobo です。レンサバの共有 SSL から話題はずれていないので、スレッドをのばしますね。
引用:
sonicさんは書きました:
横レスで申し訳ありませんが、自分もCPIのSSL対応に頭を悩ませております。
SSHが使えない方のプランです。
サイトのある部分だけ SSL にしないとまずいサイトでなければ、ぜんぶ SSL にしちゃうのがシンプルな気がします。
この場合、secure ディレクトリで、XOOPS を構築しちゃうという手ですね。いま公開ディレクトリにアップしてあるものを、がつっと secure に移しちゃって、mainfile.php だけ書き換える、ということになると思います。あわせて通常公開ディレクトリからはリダイレクトしたらいいような気がします。
次は、やったことはないので、怪しいコメントで申し訳ありませんが、シンボリックリンクがだめなら、本スレッドの
最初のコメントで書いたように、secure のフォルダにも html 以下の同じものアップして、対応ということしかおもいつきません。この場合、
・もし、画像の取得などで非 SSL 領域の画像を見るような部品構成にしていると IE などがページ遷移のたびに「SSL じゃないものが含まれている怪しいページだよ」というアラートを出してくるので、なるべく部品は <{$xoops_url}> で取得するように作る必要がある。
・なにかのアップローダなどで uploads ディレクトリになにかアップすると、そのファイルを場合によっては都度双方のディレクトリにアップする必要が出てくるかもしれません。これはサイトによっては、かなり苦しい維持管理になってしまうと思います(そう考えると、FCKeditor のアップローダで xoops_trust_path/uploads にアップされるファイルとか、うまくいきそうですね)。
というわけで、全部 SSL にしちゃうのが簡単ではないでしょうか。
投票数:0
平均点:0.00
msg# 1.3.1.1
引用:
というわけで、全部 SSL にしちゃうのが簡単ではないでしょうか。
結局XOOPSでSSLだと、この「設置するディレクトリが違う」という問題以外に<{$xoops_url}>が絡んでくるのでこのまるごとSSLが一番楽なんですよね・・・。
投票数:1
平均点:10.00
msg# 1.3.1.1.1
GIJOE
登録日: 2006-3-20
投稿数: 3708
引用:
tohokuaikiさんは書きました:
結局XOOPSでSSLだと、この「設置するディレクトリが違う」という問題以外に<{$xoops_url}>が絡んでくるのでこのまるごとSSLが一番楽なんですよね・・・。
それだと、サーバ全体が重くなって鯖管が…ゲフンゲフン…サイト全体が重くなりますよね。
SSLが必要な状況かどうかなんて、ほとんどのケースで、モジュール単位で切り分け可能なんですから、REQUEST_URIを見て、mainfile.php で振り分けちゃえばいいじゃないですか。
そんなに難しい話じゃないと思います。
投票数:0
平均点:0.00
msg# 1.3.1.1.1.1
引用:
GIJOEさんは書きました:
SSLが必要な状況かどうかなんて、ほとんどのケースで、モジュール単位で切り分け可能なんですから、REQUEST_URIを見て、mainfile.php で振り分けちゃえばいいじゃないですか。
そんなに難しい話じゃないと思います。
SSL領域にはいっちゃうと面倒なのって、結局
<script src="<{$xoops_ssl_url}>/common/prototyps.js"></script>
<a href="<{$xoops_url}>">ホーム</a>
<form action="<{$xoops_ssl_url}>" method="POST">
お問い合わせください
</form>
<img src="<{$xoops_ssl_url}>/images/logo.gif">
みたいに、リンクだけは非SSLにしないとSSL領域から抜けられなくなっちゃうのが難しいと思ってるんですが・・・。
redirect_header()もXOOPS_URL使うし、そうするとお問合せの後にリダイレクトでSSLになっちゃったりしますし。
SSLがOnの時に<a>タグだけ見分けてhttps=>httpなob_filterかなぁ・・・。
にしても、/modules/inquery/だけはそのob_filter除外とかしないと今度はSSLに行けなくなっちゃったり。
投票数:0
平均点:0.00
msg# 1.3.1.1.1.1.1
GIJOE
登録日: 2006-3-20
投稿数: 3708
引用:
tohokuaikiさんは書きました:
リンクだけは非SSLにしないとSSL領域から抜けられなくなっちゃうのが難しいと思ってるんですが・・・。
いやあ、1テンポ遅れていいのなら、やはりmainfile.phpのXOOPS_URL定義時点での判断でいけそうな気がします。
inqだけSSLという例でいえば、
top -(plain)-> inqフォーム -(ssl)-> inq確認 -(ssl)-> inq送信完了 -(ssl)-> top -(plain)-> 通常モジュール
こんな流れになります。
最初のフォーム表示は平文ですが、そこは平文で問題ありません。
フォームのPOST actionはSSLなので、ちゃんと暗号化して送られます。
気持ち悪いとすれば、inqからtop等に戻った時にtopがSSLのまま、ということですが、問題はその一点ですよね。
おそらくそのままだと、topのHTMLだけはSSLで画像が平文、という警告がでるので、要SSLモジュールじゃないのにSSLの場合は、いったんなんらかの方法でリダイレクトかければ良いかな。
いきなりheader('Location: http://')かけると、それはそれで警告出そうなので、ページを1枚はさむしかないかも。
投票数:1
平均点:10.00
msg# 1.3.1.1.1.1.1.1
あー、確かにワンテンポ(1PV)遅れてもいいならそれでいけますね。
ただ、暗号化はされてるんですが、フィッシングの可能性も考えるとフォームもSSLであるべきという意見もあります。
SSLはどのページからスタートさせるか?
SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも
投票数:0
平均点:0.00
msg# 1.3.1.1.1.1.1.1.1
前の投稿
-
次の投稿
|
親投稿
-
子投稿なし
|
投稿日時 2009-2-23 5:40
GIJOE
登録日: 2006-3-20
投稿数: 3708
あ、なるほど。
フォームそのものがplainだと、送信先もplainだと勘違いされちゃいますよね。
じゃあ、要SSLモジュールなのにplainだったら、即座にheader(Location)リダイレクトしちゃう、という方法で。
plainからSSLなら、単純リダイレクトでも警告は出ないでしょうから、こっちの方が簡単です。
あとは、ログインユーザは無条件でSSLモード、ロボットは無条件でplainとかすれば、負荷と安全性のバランスはちょうどいいかな?
投票数:0
平均点:0.00
登録日: 2006-3-20
投稿数: 656
登録日: 2006-5-16
投稿数: 389
