it-swarm-ja.com

Githubは、Pagesをパスワードやクレジットカード情報の送信に使用すべきではないと述べています。どうして?

彼らが言う:

GitHub Pagesサイトは、パスワードやクレジットカード番号の送信などの機密性の高いトランザクションには使用しないでください。

これは、公式にはHTTPSをサポートしていますが。

このシナリオを参照してください:HTTPSを有効にして、Githubで静的Webサイトをホストしています。クラウドでサーバーを実行していますが、静的Webサイトで収集/表示するすべての非静的情報は、HTTPSを介してこのサーバーに保存/取得されます。

静的WebサイトがHTTPSの背後にあり、クラウドサーバーへの接続もすべてHTTPSである場合、パスワードやクレジットカード番号の送信などの機密性の高いトランザクションにGithubPagesを使用できるはずです。

GitHubページを使用しているときに安全を確保する方法はあると思いますが、Githubが「そうすべきではない」と言っている理由は何でしょうか。

5
Rushi Agrawal

HTTPSは、転送中の情報(つまり、クライアント->サーバーおよびサーバー->クライアントから)を暗号化/保護しますが、保存中の情報は暗号化しません。そのため、パスワードやクレジットカード情報をページに配置して、なんらかの方法で認証の壁に隠したとしても、GitHubにハッキングする可能性のあるハッカーがデータを単純にエクスポートするのを防ぐような方法で、データがGitHubによって暗黙的に暗号化されることはありません。彼らのシステム。

本質的にそれは責任です。 :)

2
David Woodward

その理由は、githubがLet's Encryptドメイン検証済み(DV)SSL証明書を使用しているためです。これらの証明書では、SSL証明書が必要なドメインにDNSレコードを作成するか、ドメインが指すWebサイトにファイルをアップロードして、ドメインの所有権を示す必要があります。ドメイン名を所有しているからといって、ドメインのWebサイトに表示されている特定の会社のビジネスを行う権限があるとは限りません。

Webサイトで使用されている名前でビジネスを行う権限がWebサイトにあることをユーザーに確認させたい場合は、組織検証済み(OV)または拡張検証(EV)証明書を使用する必要があります。

OV証明書では、証明書の件名フィールドに登録済みの会社名が表示されます。たとえば、これは私がwellsfargo.comにアクセスしたときに表示されるものです。これは、wellsfargo.comを正確に所有している人を確実に知っているためです。ドメイン名自体は、まだ使用されていない任意のドメイン名を作成できる場合、権限がないためです。

CN = www.wellsfargo.com
OU = DCG-PSG
O = Wells Fargo & Company
L = San Francisco
S = California
C = US
SERIALNUMBER = 251212
1.3.6.1.4.1.311.60.2.1.2 = Delaware
1.3.6.1.4.1.311.60.2.1.3 = US
2.5.4.15 = Private Organization

名前と住所がわかったので、この情報を確認するためにうさぎの穴を下り続けたい場合は、カリフォルニアのレコード検索にアクセスして、たとえばウェルズファーゴアンドカンパニーについてもっと知りたい場合は、彼らの定款を見ることができます。彼らの正式な住所または正式に連絡する方法: https://businesssearch.sos.ca.gov/Document/RetrievePDF?Id=02160471-4750627

https://community.digicert.com/en/blogs.entry.html/2015/04/16/dv-ssl-certificates-and-ecommerce-dont-mix.html

1