Wysyłanie wiadomości z formularza i SSL Opcje

[michal21]

Cześć, mam do was pytanie odnośnie zabezpieczania wysyłania danych z np. formularza na stronie.

Z tego co wiem najlepiej w tym celu jest użyć SSL, dlatego wybrałem w tym celu bibliotekę phpMailer.

Zrobiłem to tak:

w pliku PHP :

[PHP] pobierz, plaintext 
<?php
require("phpmailer/class.phpmailer.php"); 
$mail = new PHPMailer(); 
 
$mail->PluginDir = "phpmailer/"; 
$mail->From = "adres@mail.pl"; 
$mail->FromName = "Autor maila"; 
$mail->Mailer = "smtp"; 
$mail->Username = "adres@mail.pl";  //login do konta SMTP 
$mail->Password = "haslo";  //hasło do konta SMTP 
$mail->IsSMTP(); 
$mail->SMTPAuth = true;  
$mail->SMTPSecure = "ssl"; 
$mail->SetLanguage("pl", "phpmailer/language/");  //jezyk  
 
$mail->IsHTML(true); 
$mail->CharSet = "iso-8859-2"; 
 
$mail->Subject = "Tytul maila";  //tytul e-maila 
$mail->Body = "{tresc maila}". 
 
$mail->AddAddress("jan@kowalski.pl","Jan Kowalski"); //adres odbiorcy odbiorcy 
 
$mail->Send(); // wysylanie
?>
[PHP] pobierz, plaintext 

natomiast w pliku .htaccess wpisuje na samym poczatku:

Kod:

Kod

SSLOptions  StrictRequire
SSLRequireSSL
SSLRequire %{HTTP_HOST} eq "adres-strony.pl"
ErrorDocument 403 https://adres-strony.pl

Czy moja metoda jest prawidłowa? Poprzez formularz wysyłane będą dane osobowe. Jeśli coś robię źle bardzo bym prosił Was o pomoc co poprawić.

PS. Jeszcze zapytam, czy używając SSL istnieje możliwość przechwycenia takiego maila?

[erix]

aha... hm.... czyli na nic zda się to, ze "włączę" obsługę SSL poprzez .htaccess (wtedy strona uruchomi się jako https://...) ?

Połączenie SMTP nie będzie zawsze szyfrowane.

A to że chcesz przesyłać form również po szyfrowanym chwali się. Nawet znaleźć duże sklepy z takim "bajerem" jest ciężko.

Zależy jeszcze, co. Bo wszystkiego szyfrować nie ma sensu.

[viking]

Zależy jeszcze, co. Bo wszystkiego szyfrować nie ma sensu.

Formularze logowania i rejestracji powinny być ustawowo jakoś regulowane dla podmiotów gospodarczych (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Jakiś czas temu GIODO przeprowadził kontrole i wynik był mizerny (później zrobił się jeszcze szum z naszą klasą to przynajmniej do niektórych dotarło jak łatwo mogą stracić dane).
A czemu nie dla całej strony? Narzut na obsługę kluczy przez serwer nie jest znowu taki wielki, na 64 bitach zwłaszcza, a odpada problem ciasteczek z flagą secure (kolejna sprawa o którą ludzie nie dbają).