このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

webstar4.0でのセキュリティーを教えて下さい

発言者:タチバナ
( Date Thursday, June 28, 2001 19:23:14 )


複雑な構造のサイトを構築することになってしまって悩んでいます。
会員制のページのサイトがあります。(自分とは、別のサーバーです。)
会員登録をしたら、私たちのサーバーのページ(会員専用のページです)へ飛んでくるような仕組みを取りたいのですがその場合webstarの保護領域や許可/不許可の設定だけで出来るでしょうか?
その場合、自分のところに飛んできたらパスワードや名前を入れなくてはならなくなります。
特定のサイトから飛んできた人だけが許可するような設定があれば教えて下さい。(パスワードや名前を入れないで)

田中求之 さんからのコメント
( Thursday, June 28, 2001 20:42:40 )

>特定のサイトから飛んできた人だけが許可するような設定

CGI か Plugin を使えば可能ですが、そうでなければむりですね。

ページのリンクをたどってアクセスしてきた場合には、Referer というヘッダ
に、リンク元のページの URL が収まりますので、この部分をチェックする仕掛
けを作れば、特定のサイトの特定のページのリンクをたどってこなければアク
セスできないようにすることは可能です。実際、有料サービスを行っているサ
イトで、このような仕掛けを使っているところを見かけます。

WebSTAR の設定だけで乗り切ることは無理です。REALM (保護領域)を使う方
法だと、おっしゃっているように、必ずユーザー名とパスワードの入力が必要
になりますし、それが有効なものかどうかをチェックするために会員登録を行っ
ているサーバの会員情報をつねに参照できるようにしておく必要があります。

Junnama さんからのコメント
( Thursday, June 28, 2001 23:15:29 )

> Referer というヘッダに、リンク元のページの URL が収まりますので

私もRefererをチェックすればいいと思いますが、例えばiCabではRefererを送
らない設定もできるようになっていますね。

いずれにしてもCGIを使わなければ難しいでしょう。

田中求之 さんからのコメント
( Friday, June 29, 2001 00:42:13 )

>例えばiCabではRefererを送
>らない設定もできるようになっていますね。

こうなると、リンクの URL にパスワードにあたる情報を追加するようにして
おいて、それを見るようにするしかないでしょうね。Cookie を使ったら簡単
ではありますが、Cookie の発行サイトと適用サイトが別ってヤツはセキュリティ
の関係で避けたほうが賢明(実際、避けられているはず)ですから。

田中求之 さんからのコメント
( Friday, June 29, 2001 00:45:22 )

…結局、こざかしい細工をするぐらいなら、きちんとユーザー名とパスワードを
入力させる(REALM で管理する)という方法が、一番安全で、まっとうだとは
思います。

もっとも、サイト間でのユーザー情報の管理をどうするかという難しい問題
は残りますが。