このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

認証のID,パスワードのキャッシュについて

発言者:重松修
( Date Monday, December 08, 1997 11:56:39 )


ユーザー認証を行った場合、しばらくIDやパスワードがキャッシュされている
ようですが、これをサーバサイド(ヘッダによるコントロールかなにか)で
時間を設定したり、ただちに消去するような事はできるのでしょうか?

ちょっと席を離れたりするとき、ログオフしても、WWWブラウザがキャッシュして
いれば、そのまま別の人が認証を経ずアクセスできてしまうので、なんとか
ならないかな、と思っています。

田中求之 さんからのコメント
( Monday, December 08, 1997 12:42:08 )

現時点では、認証の有効期限をサーバー側(ヘッダー)でコントロールすることは
できないようですね。 HTTP1.1 ではどうなっていたかは調べていませんが、
厳密なセッション管理が難しい HTTP の制約(限界)と言えるかもしれません。

たまちゃん さんからのコメント
( Monday, December 08, 1997 13:59:32 )

Internet Explorerでは、認証を要するサイトにアクセスすると、「サイトパス
ワード」なるもので、何の設定をしなくてもIDを勝手に保存してしまいます。
さらに、Windows版のIE 4.0では、サイトパスワードのところで、パスワードの
保存を選択していないにも関わらず、勝手にパスワードまで記憶してしまい
(最新版ではしりませんが、ベータ版ではなりました)、しかも履歴のところ
にアクセスしたサイトを記憶しているので、やすやすと認証の必要なサイトに
第3者がアクセスできてしまいます。

Netscape Navigatorの場合は、面倒でも席を離れるときに終了させればよいの
ですが、IEの場合はサイトパスワードのところで一々削除してやる必要があり
ます(できれば履歴も)。IDとパスワードを共有する間柄であっても、この
点には十分注意を払う必要があるようです。

IDとパスワードは頻繁に変える必要があるのを痛感したのと、Realmの意味っ
ていったい何?と考えさせる一件でした。でも便利さのためにセキュリティー
をないがしろにするのは、個人的にはいただけません。

田中求之 さんからのコメント
( Monday, December 08, 1997 16:21:15 )

>IDとパスワードは頻繁に変える必要があるのを痛感したのと、Realmの意味っ
>ていったい何?と考えさせる一件でした。

というか、パーソナルコンピュータが、本当にパーソナルで使われているのか?という
問題ともからんできますよね。

持ち主以外が絶対に使わないような状況であれば、Realm のユーザー名とパスワード
を記憶しておいてくれることは、ある意味では便利とも言えますから。パスワードまで
記録すること、あるいは記録するかどうかを選択できないことは仕様の詰めの甘さですが、
たとえば、メールソフトだって POP アカウントのユーザー名とパスワードは保存(記憶)
して使っている人が多いのではないでしょうか。

このように、現在のパソコンの、ネットワーク関連のソフトウェアには、パーソナルな
道具なのか、共用の道具なのか、という点で、中途半端になっているところがある
のは事実だと思います。

もっとも、ブラウザが勝手に Realm の情報を記憶するのは、大きなお世話だと思いま
すが。

重松修 さんからのコメント
( Wednesday, December 10, 1997 04:57:30 )

田中先生,たまちゃんさん、詳しい説明ありがとうございます。

とくに、私はMacしか使っていないので、Windowsの件は大変参考になりました。

いずれにせよ現状取り得る対応とすれば、サーバー側(CGI)でログインの都度
WWW-Authenticate: Basic realm=の部分を、変えるってこと位ですね。
(毎回確認するかどうかは、任意で設定するとして。)