基本認証でユーザーを判別したいと思っていますが方法が分かりません。
例えば@niftyなどは会員サイトのログインを基本認証で行っています。その際 oshiete というIDでメールボックスにログインした際 oshiete に届いたメールが表示されます。又 goo というIDでログインした際は goo のメールが表示されます。これはいったいどのような仕組みになっているのでしょうか?
私の乏しい知識で考えてきたところ環境変数に格納してあるIDを取得し、ただそのIDのログを読み込んでいるだけと考えました。もしこの場合環境変数を自由自在に変換することができるブラウザを使用して goo というIDでログインしたのにもかかわらず環境変数のIDを oshiete に変換すれば oshiete のメールを操作できてしまうのではないでしょうか?こうなるとセキュリティ面で心配ですがこのような事は可能なのでしょうか?
どうぞよろしくお願いいたします。
No.1ベストアンサー
- 回答日時:
環境変数なわけないでしょう…^^;)
最近のでは、HTTP認証、というのがありHTTP/1.1ではその仕様が決められています。
HTTP 認証: 基本アクセス認証及びダイジェストアクセス認証
http://www.studyinghttp.net/cgi-bin/rfc.cgi?2617
それ以外にも方法が以下のページで。
パスワード承認・アクセス制限スクリプト
http://allabout.co.jp/career/cgiperl/subject/msu …
参考になれば。
No.5
- 回答日時:
>基本認証ではなくそれはフォームタイプなのでは?
>基本認証はセッションID等で認証を維持しているのではなく
>毎回ブラウザがIDとパスを吐き出すことによってあたかも
>継続されているように見えるだけですが
いや、実際にBASIC認証ではヘッダに下記のようなものがつきます。
GET / HTTP/1.0
Authorization: Basic aXNoaTo=
...
これはユーザとパスワードが:で区切られたものが単純にBASE64でエンコードされているだけのものです。、
なので、これを使ってセッション管理をしているサイトなど、もはや存在しないということが言いたかったのです。
セッション管理はワンタイムクッキーによって行われていますよ。
(普通のサイトならば)
No.4
- 回答日時:
>こうなるとセキュリティ面で心配ですが
心配なし。
>ソフト名は忘れましたが確かにありました。
そのような聞きかじりのデタラメを言っていると恥をかきますよw
自由自在とは言いすぎでは?
いやぁ、ネタとかじゃなくて本当にあったんですよ。ブラウザの環境変数を指定して吐き出すツールが。でたらめではありません。といってもそのツールの名前を覚えているわけではないので。。。
No.3
- 回答日時:
大抵はCookieを利用して'ユーザ認証の継続'、つまりセッションの継続をしています。
ほとんどWebサイトではこれを利用していることでしょう。単純なCookieであれば、仰るとおりユーザーを偽装できます。
※しかも別IDであらかじめログインする必要もありません。
ただ、そんな単純な実装は今時なくて、Cookieも暗号化され、セッション毎に(ある意味)変えています。
RSAのSecureID等を使っている人を見たことはないでしょうか?あのワンタイム・パスワードと同じ原理です。
ある意味、といったのは話せば長くなるので省略しますが、ちゃんと作りこんだサイトでは心配するようなことはありません。
すいません、質問内容と異なります。
> 大抵はCookieを利用して'ユーザ認証の継続'、つまりセッションの継続をしています。
ですが、基本認証ではなくそれはフォームタイプなのでは?基本認証はセッションID等で認証を維持しているのではなく毎回ブラウザがIDとパスを吐き出すことによってあたかも継続されているように見えるだけですが。
回答はありがたいのですが全く異なったものになりますので残念ながら参考にはなりません。。
No.2
- 回答日時:
>環境変数を自由自在に変換することができるブラウザを使用して
そんなものはない。あるなら誰でもハッカーさんになれるだろう。
もしかしてブラウザ情報や言語情報を変えられる程度で何でも自由自在に他の環境変数を変えられると思っているのかな。
ブラウザの設定なんかでREMOTE_USERのなりすましは無理。悪巧みはやめておくことだ。
回答ありがとうございます。
eSecuaさん、私をご存知ですか?Intel_404です。知らなかったら忘れてください。
さて、本題ですが目的は悪巧みではありません。現在会員サイトを作成しています。その際に使用するログイン機能の安全性を考え基本認証かそれともフォームタイプか考えています。それで基本認証の弱点を探していたわけです。
ところでブラウザ情報など簡単には変えることはできないといっていますがソフトを使用すれば変換できます。ソフト名は忘れましたが確かにありました。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- Yahoo!メール Yahooアカウントにログインできなくなって困っています。 2 2023/05/16 02:28
- docomo(ドコモ) 契約者固有IDと個体識別番号の違い 1 2022/12/15 00:15
- その他(セキュリティ) システムのセキュリティに詳しい方〜 飛行機のチケット使わなかったときのチケット費用補償保険/旅行キャ 1 2022/04/06 09:49
- その他(プログラミング・Web制作) Windowsのマクロプログラムで、こんなことできますか? 3 2022/06/28 14:30
- ハッキング・フィッシング詐欺 ここ最近ずっと、「誰かがログインを試みようとしています」というインスタからのメールが届きます。 誰か 1 2022/09/02 20:32
- その他(セキュリティ) Yahoo! JAPANのID取得について 1 2022/11/30 23:00
- gooポイント gooポイントをdポイントに交換できない。 3 2022/04/22 20:39
- gooメール スマホ乗り換え gooIDが現在使っているスマホのキャリアメールアドレスですが、乗り換えた場合 その 2 2022/03/30 13:32
- Yahoo!メール yahoo IDの事で教えて欲しい事があります。 同じ携帯番号で2つのアカウントを持っていたのですが 1 2022/05/10 12:36
- UNIX・Linux Ubuntu on Xorgのログインについて 2 2023/08/10 15:16
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
会員登録のシステムについて
-
月の第一週とは
-
よくある 『 第○(1・2・3・4・...
-
6月の第2 第4火曜日は何日...
-
今週とは何曜日から何曜日まで...
-
FORMのFILEでフォルダ(ディレ...
-
[Excel] ある日の曜日が当月の"...
-
エクセルで毎月第2週日の水曜日...
-
日本語問題 昨日は何曜日ですか...
-
Webで取得できる情報
-
週2回のペースって だいたい何...
-
c言語の質問です。 ある月のカ...
-
jcode.plが読み込めない
-
perlのrequireの動き方について...
-
第○曜日であるかを取得する関数
-
apacheで403を404のように見せる
-
土曜日の26時って何曜日の何時...
-
C言語でわからないところがが...
-
はじめまして、レンタルサーバ...
-
お台場合衆国の混んでない時間...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
1日1回しかアクセスできないページ
-
フォームの文字数制限を解除したい
-
無料掲示板で書き込みは特定の...
-
会員登録のシステムについて
-
ホームページへのパスワード設...
-
PHP・セッションでのユーザー認...
-
フォーム要素の文字数制限について
-
Perlでブラウザのようにクッキ...
-
Perlでマックアドレスの取得
-
クエリーが含まれるURLを特定の...
-
ASP+Access(Jet4.0)のユーザ...
-
perl/cgi セッションについて
-
シェアウェアの試用制限のかけ方
-
HPのアドレス統一?
-
fc2無料HPのディレクトリアクセ...
-
基本認証でどのようにユーザー...
-
月の第一週とは
-
6月の第2 第4火曜日は何日...
-
よくある 『 第○(1・2・3・4・...
-
DBを10件毎に表示ページング...
おすすめ情報