なんとなく、HTTPS+Basic認証で落ち着きそうな気配があるけど、ケースバイケースではあるのでちょっとメモ。 予測困難なURL ランダムな文字列をフィードのURLにする事で、そのフィードの存在をある程度隠す事が出来る。URL自体が認証情報となるので、このURLが漏れた段階でアウト。 適当なタイミングでURLを変更し、古いURLを無効にする事で安全性の向上が図れる。 クライアント側で特別な実装を必要とせず、またサーバ側でも実装の負担は小さい。 フィードURLの管理次第で簡単に情報漏洩してしまうため、ごく軽微な被害(心理的にちょっと困る)で済むケースでのみ利用可能。 HTTPS+Basic認証 Webのアクセス制限として一般的な方法。 広く利用されているため、サーバとクライアント両者にとって実装の負担が小さい。 メリット/デメリットについては、一般のWebアクセス同様。 購読者(アクセス許
先日公開した、主専攻振り分けの途中経過は、学内からアクセスする場合は、そのまま閲覧でき、学外からアクセスする場合は、BASIC認証が必要になるように設定しています。 特定のIPアドレスは通して、それ以外は、認証が必要。というページの作成は、結構需要があるような気がします。代表的なのは、自分のマシンは認証無しで、他の人が見る場合は、認証が必要とするということが挙げられます。 .htaccess で設定するわけですが、やり方を良く忘れてしまうので、メモしておくことに。 AuthType Basic AuthDBUserFile /etc/webpass.coins AuthName "Please input your coins's Account & Password" Require valid-user Satisfy Any Order Allow,Deny Allow from 1
(Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保
認証API をどうするか、ということで数名のスタッフであれこれ話ながらやってます。 まず、はてなの認証APIを使って何ができるといいのかというところですが、はてなラボをオープンしたときにいただいた意見などを見ると、「はてなのAPIで認証付きのをセキュアに利用するための API」というより「サードパーティのアプリケーションではてなIDでユーザーを識別できるためのAPI」の方が求められているという風に思いました。 具体的には、新規にユーザーを識別する必要のあるアプリケーション、例えば掲示板などを作るとして、その掲示板のユーザーを一意に識別する方法としてはてなIDを使いたい、そのIDが本当にその人のものであるかどうかをはてなが保証する、その保証を問い合わせるための API ですね。その掲示板でログインして何かを書き込むと id:naoya、と表示されると。 この手の認証APIを提供しているサービ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く