質問 > フロント機能 > mobileサイトのSSL遷移 |
フロント機能
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
tomy |
投稿日時: 2009/5/9 13:18
対応状況: −−−
|
新米 登録日: 2009/5/9 居住地: 東京 投稿: 10 |
mobileサイトのSSL遷移 [EC-CUBE] 2.3.4正式版
[レンタルサーバ] KAGOYA専用サーバ [OS] Vine Linux [PHP] PHP 5.2.8 [データベース] MySQL 5.0.33 [WEBサーバ] Apache/1.3.41 [ブラウザ] Windows IE7 [現象] デフォルトではmobileサイトの『会員登録』『MYページ』がSSL遷移していません。 初めてこちらのフォーラムに投稿させていただきます。 以後、どうぞよろしくお願いします。 現在EC-CUBE2を使用して弊社の通販サイトを構築中です。 mobileサイトのSSL遷移の問題で躓いております。 このフォーラムでもGoogleでも検索してみましたが、なかなか解決策をみつけられなかった ので、質問という形で投稿させていただきました。 早速ながら、デフォルトでは、mobileトップページの『会員登録』を押して各必須項目を入力、 「下記の内容で登録してもよろしいですか?」の後、登録ボタンを押して、最後まで SSL遷移することなく登録できてしまいました。これは問題だと思いました。 次に『MYページ』ですが、ここには個人情報も載っているというのに全くSSL遷移 していない状況。 ここのフォーラムで最近、ある方が、 「携帯端末はSSL非対応です。知らずにSSLかけちゃってる方多いです!」と書き込まれて ありましたが、では、seasoftさんの書き込まれたリンク先の一つ『au』では、 「EZweb端末はSSLを使用した通信に対応しています。EZweb端末側で特別な設定をすることなく、 SSLを利用して、より安全にデータの送受信を行うことができます。」 とあります。 矛盾していますね。どちらを信じたらいいのでしょう? 話を元に戻します。 実際、デフォルトの状態でmobileサイトで買い物をした場合、メールアドレスや住所・氏名などの 個人情報を入力する際にちゃんとSSL遷移しているようです。 ブラウザの上端で鍵のアイコンが表示されましたから。 そこで、以下のように修正してみました。 まず、会員登録ですが、 /data/Smarty/templates/default/mobile/entry/new.tpl 30行目の <a href="index.php" accesskey="2"><!--{2|numeric_emoji}-->同意して登録へ<br> を <a href="<!--{$smarty.const.MOBILE_SSL_URL|sfTrimURL}-->/entry/index.php" accesskey="2"><!--{2|numeric_emoji}-->同意して登録へ<br> に修正しました。これで、トップページから『会員登録』を押して2番目の「同意して登録」を押すと SSL遷移するようになりました。 次にMYページですが、こちらは /data/Smarty/templates/default/mobile/mypage/login.tpl 28行目の <form name="login_mypage" id="login_mypage" method="post" action="./index.php"> を <form name="login_mypage" id="login_mypage" method="post" action="<!--{$smarty.const.MOBILE_SSL_URL|sfTrimURL}-->/mypage/index.php"> に修正しました。これで、トップページから『MYページ』を押してパスワードを入力してログイン するとSSL遷移します。 この設定で買い物も会員登録もちゃんとできます。 検証は自分の携帯電話(au)とNTTドコモのソフト『i-mode HTML Simulator?』でやっています。 私もhtmlやcssはそれなりに経験を積んで理解しているつもりですが、phpについては殆ど知識 がなく、今後の課題と考えております。 上のようなやり方が果たして正しいのでしょうか? どうかご教授をお願いします。 因みに独自ドメイン、SSL証明書はGeotrustで構築しています。 install.phpは define ('SITE_URL', 'http://〜/'); define ('SSL_URL', 'https://〜/'); で設定しています。 PCサイトの方は問題なくSSL遷移している模様です。 長文で申し訳ありません。よろしくお願いします。 |
seasoft |
投稿日時: 2009/5/9 13:34
対応状況: −−−
|
神 登録日: 2008/6/4 居住地: 投稿: 7367 |
Re: mobileサイトのSSL遷移 引用:
ここのフォーラムで最近、ある方が、 私はモバイルでは SSL の必要性を感じていないので、あまり自身の知識としては身についていませんが、とりあえずは au の公式情報を信じています。 少なくとも、私どもの顧客で、客先 SE が環境構築したサイトでは、モバイルサイトを SSL で運用していたと思いました。(たしか、サイト全体をSSL化していた気がします。) > 上のようなやり方が果たして正しいのでしょうか? 基本的には良いと思いますよ。あとは、色々なルートを、漏れなくテストするのが吉かと。 将来的にはこの辺りも、インストールオプションやパラメータで変更できるようになると良いですね。 > 因みに独自ドメイン、SSL証明書はGeotrustで構築しています。 DoCoMo に関して言えば、一部の端末は Geotrust 未対応だったかも。
|
ramrun |
投稿日時: 2009/5/9 14:16
対応状況: −−−
|
仙人 登録日: 2006/11/3 居住地: 投稿: 789 |
Re: mobileサイトのSSL遷移 たぶんこういうことですよね。
・Hatena::Question:携帯サイトのSSLの対応状況を知りたいです。(3キャリアとも) 遷移については ・Re: MyページでSSL通信していない不具合 で、いまの正式系はおかしいです。 といってもいじれるのは株式会社ロックオンの方だけですのでアレですけど。 たとえばPCページのフロントのログインブロックだって、パスワードを送るところでちょろっとhttpsに切り替えていますが、本来のSSLの考え方でいうと、認証を受けたページにパスワードなど入力するフォームを置くべきだと思います。 使い勝手を考えると、どこかで妥協することも... |
tomy |
投稿日時: 2009/5/9 14:17
対応状況: −−−
|
新米 登録日: 2009/5/9 居住地: 東京 投稿: 10 |
Re: mobileサイトのSSL遷移 > Seasoft様
早速のご回答ありがとうございます。 > 私はモバイルでは SSL の必要性を感じていないので、あまり自身の知識としては身についていませんが、とりあえずは au の公式情報を信じています。 携帯の暗号化送信については、それほどまでには神経質にならなくてもよいということなんでしょうか? > 基本的には良いと思いますよ。あとは、色々なルートを、漏れなくテストするのが吉かと。 ありがとうございます。 基本的に良いとおっしゃっていただきましたので、胸をなでおろしています。 はい、いろいろなルートで漏れなくテストしていくつもりです。 > DoCoMo に関して言えば、一部の端末は Geotrust 未対応だったかも。 あ、残念ですね。 社長の決裁がおりたのはこの比較的最も安く発行してもらえるSSL証明書でした。 超のつくほどの弱小零細企業にとっては高額な証明書はちょっと無理みたいで…。 端末による未対応は諦めざるをえませんね。 本当にありがとうございました。 |
seasoft |
投稿日時: 2009/5/9 14:30
対応状況: −−−
|
神 登録日: 2008/6/4 居住地: 投稿: 7367 |
Re: mobileサイトのSSL遷移 > 携帯の暗号化送信については、それほどまでには神経質にならなくてもよいということなんでしょうか?
心理面では、PCのブラウザでは、近年になって SSL か 非SSL がそれなりに目立って表示されるようになり、それなりに気にする人も居ると思います。それに対して、携帯では、そこまで気にする人はいないかなと。私見ですが。 実質面でも PC の場合は、ローカル側の問題として ・企業内の PROXY やネットワーク監視 ・LAN のパケットキャプチャ ・暗号化されていない無線LAN など、気にする要素はそれなりにあります。 それに対して、携帯端末から携帯キャリアの通信はそう簡単に傍受できるものではないので、気にしなくて良いと思います。 問題となるのは、携帯キャリアからサーバ間の通信ですね。サーバ業者が信頼できないとか・・・そんなの外部にサーバを借りている時点で終わっているわけで・・・ あとは、エシュロン(Echelon)を気にするかとかありますけど・・・ まぁ、注文メールはプレーンテキストで流れますし
|
tomy |
投稿日時: 2009/5/9 17:28
対応状況: −−−
|
新米 登録日: 2009/5/9 居住地: 東京 投稿: 10 |
Re: mobileサイトのSSL遷移 > ramrun様
はじめまして。よろしくお願いします。 引用: ramrunさんは書きました: 本当にその通りだと思います。 ヘッダーの『MYページ』をクリックしたところでhttpsに変わっているのは、もうこれはec-cubeの仕様と思って割り切りました。 こういう微妙な部分を改善していただけたら、と期待しています。 |
tomy |
投稿日時: 2009/5/9 17:40
対応状況: −−−
|
新米 登録日: 2009/5/9 居住地: 東京 投稿: 10 |
Re: mobileサイトのSSL遷移 > Seasoft様
引用:
何が何でもセキュリティ面を…と考えていたので、このSSL遷移のことが気になって仕方なかったのですが、大いに安心できました。 引用: 問題となるのは、携帯キャリアからサーバ間の通信ですね。サーバ業者が信頼できないとか・・・そんなの外部にサーバを借りている時点で終わっているわけで・・・ もうそこまでの話になると手に負えなくなりますね。 レンタルサーバ会社を信じるしかないと思っています(^^ゞ ありがとうございました。 |
eightman |
投稿日時: 2009/5/11 17:46
対応状況: −−−
|
半人前 登録日: 2009/3/3 居住地: 投稿: 11 |
Re: mobileサイトのSSL遷移 気になる点があります。
横やりで申し訳ありませんが確認させてください。 > <form name="login_mypage" id="login_mypage" method="post" action=" > <!--{$smarty.const.MOBILE_SSL_URL|sfTrimURL}-->/mypage/index.php"> とするとセッションIDが渡らなくなりませんか? Myページにも[かごを見る]リンクがありますが、 商品がなくなってしまいます。 [EC-CUBE] 2.3.3 [レンタルサーバ] アルファメールプレミア [PHP] PHP 5.1.6 [データベース] MySQL 5.0.45 [WEBサーバ] Apache/2.2.3 |
seasoft |
投稿日時: 2009/5/11 17:50
対応状況: −−−
|
神 登録日: 2008/6/4 居住地: 投稿: 7367 |
Re: mobileサイトのSSL遷移 検証したことはありませんが、
?{$smarty.const.SID} の付加ではどうでしょう?
|
ramrun |
投稿日時: 2009/5/11 20:54
対応状況: −−−
|
仙人 登録日: 2006/11/3 居住地: 投稿: 789 |
Re: mobileサイトのSSL遷移 eightmanさん。
Linux-userさんの質問スレが参考になると思います。 ・モバイル「https」アクセスで購入完了まで到達できません。 PHPがCGIで動作している場合はphp.iniを用意する必要があるかと。 |
(1) 2 » |
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |