基本認証でどのようにユーザーを判別すればいいのでしょうか？

基本認証でユーザーを判別したいと思っていますが方法が分かりません。

例えば@niftyなどは会員サイトのログインを基本認証で行っています。その際　oshiete　というIDでメールボックスにログインした際　oshiete　に届いたメールが表示されます。又 goo というIDでログインした際は　goo　のメールが表示されます。これはいったいどのような仕組みになっているのでしょうか？

私の乏しい知識で考えてきたところ環境変数に格納してあるIDを取得し、ただそのIDのログを読み込んでいるだけと考えました。もしこの場合環境変数を自由自在に変換することができるブラウザを使用して goo というIDでログインしたのにもかかわらず環境変数のIDを　oshiete　に変換すれば oshiete　のメールを操作できてしまうのではないでしょうか？こうなるとセキュリティ面で心配ですがこのような事は可能なのでしょうか？

どうぞよろしくお願いいたします。

No.1 ベストアンサー 回答者： phoenix343 回答日時： 2005/11/19 12:41

環境変数なわけないでしょう…^^;)

最近のでは、HTTP認証、というのがありHTTP/1.1ではその仕様が決められています。

HTTP 認証: 基本アクセス認証及びダイジェストアクセス認証
http://www.studyinghttp.net/cgi-bin/rfc.cgi?2617

それ以外にも方法が以下のページで。

パスワード承認・アクセス制限スクリプト
http://allabout.co.jp/career/cgiperl/subject/msu …

参考になれば。

No.5 回答者： ishitani 回答日時： 2005/11/26 11:23

>基本認証ではなくそれはフォームタイプなのでは？

>基本認証はセッションID等で認証を維持しているのではなく
>毎回ブラウザがIDとパスを吐き出すことによってあたかも
>継続されているように見えるだけですが
いや、実際にBASIC認証ではヘッダに下記のようなものがつきます。
GET / HTTP/1.0
Authorization: Basic aXNoaTo=
...
これはユーザとパスワードが：で区切られたものが単純にBASE64でエンコードされているだけのものです。、
なので、これを使ってセッション管理をしているサイトなど、もはや存在しないということが言いたかったのです。
セッション管理はワンタイムクッキーによって行われていますよ。
(普通のサイトならば)

この回答へのお礼

回答ありがとうございました。

なるほど、参考になります。

お礼日時：2005/11/26 18:20

No.4 回答者： mihaRa1130hiRomi 回答日時： 2005/11/24 22:55

＞こうなるとセキュリティ面で心配ですが

心配なし。

＞ソフト名は忘れましたが確かにありました。
そのような聞きかじりのデタラメを言っていると恥をかきますよｗ
自由自在とは言いすぎでは？

この回答へのお礼

いやぁ、ネタとかじゃなくて本当にあったんですよ。ブラウザの環境変数を指定して吐き出すツールが。でたらめではありません。といってもそのツールの名前を覚えているわけではないので。。。

お礼日時：2005/11/25 12:10

No.3 回答者： ishitani 回答日時： 2005/11/24 00:41

大抵はCookieを利用して'ユーザ認証の継続'、つまりセッションの継続をしています。

ほとんどWebサイトではこれを利用していることでしょう。
単純なCookieであれば、仰るとおりユーザーを偽装できます。
※しかも別IDであらかじめログインする必要もありません。

ただ、そんな単純な実装は今時なくて、Cookieも暗号化され、セッション毎に(ある意味)変えています。
RSAのSecureID等を使っている人を見たことはないでしょうか？あのワンタイム・パスワードと同じ原理です。
ある意味、といったのは話せば長くなるので省略しますが、ちゃんと作りこんだサイトでは心配するようなことはありません。

この回答へのお礼

すいません、質問内容と異なります。

> 大抵はCookieを利用して'ユーザ認証の継続'、つまりセッションの継続をしています。

ですが、基本認証ではなくそれはフォームタイプなのでは？基本認証はセッションID等で認証を維持しているのではなく毎回ブラウザがIDとパスを吐き出すことによってあたかも継続されているように見えるだけですが。

回答はありがたいのですが全く異なったものになりますので残念ながら参考にはなりません。。

お礼日時：2005/11/25 12:13

No.2 回答者： esecua 回答日時： 2005/11/20 09:27

＞環境変数を自由自在に変換することができるブラウザを使用して

そんなものはない。あるなら誰でもハッカーさんになれるだろう。
もしかしてブラウザ情報や言語情報を変えられる程度で何でも自由自在に他の環境変数を変えられると思っているのかな。
ブラウザの設定なんかでREMOTE_USERのなりすましは無理。悪巧みはやめておくことだ。

この回答へのお礼

回答ありがとうございます。

eSecuaさん、私をご存知ですか？Intel_404です。知らなかったら忘れてください。

さて、本題ですが目的は悪巧みではありません。現在会員サイトを作成しています。その際に使用するログイン機能の安全性を考え基本認証かそれともフォームタイプか考えています。それで基本認証の弱点を探していたわけです。

ところでブラウザ情報など簡単には変えることはできないといっていますがソフトを使用すれば変換できます。ソフト名は忘れましたが確かにありました。

お礼日時：2005/11/20 21:00