javascriptでパスワードを保護する方法

Question

blogではperl/cgiが使えない関係で、javascriptでパスワードを掛けることを考えています。
*.htmlに(方法１)の関数を書くとソースで丸見えになります。関数を*.jsで分離しても、*.jsの所在が判るのでダウンロードされたら終わりです。(frameを使ってソースを見え難くする事はできますが.....)

（方法２）のファイル名をパスワードにする（方法２)は、(方法１）よりましですが不恰好です。(直接アクセスは防げませんがファイル名が無限設定できるのでPWDを知られるのと同じsecurity level)

もっと他にsecurity levvelの高いパスワード保護法は無いでしょう？
よろしくお願いします。

(方法１)
function GetP(s) {
if (s=="hoge") { location.href = "http://***/XXX.html" }
else { alert("入力された暗証番号"+s+"は間違いです!!") } 
} 

(方法２)
function getPassword(subdir, ext) {
pw = prompt("パスワードを入力してください：","")
if(pw) {
location =subdir + pw + "." + ext
} else {
alert("パスワードが入力されていません")
}
}

noname#17489 · Accepted Answer

http://www.imymode.com/exp/js03.html
のような考え方でも出来ないことはないと思います。
暗号化/復号化には、
http://www.hcn.zaq.ne.jp/___/JavaScrypt/
(原文:http://www.fourmilab.ch/javascrypt/ )
が利用できるかもしれない。（ただ、動作が重いのでちょっと...）

参考URL：http://www.imymode.com/exp/js03.html,http://www.hcn.zaq.ne.jp/___/JavaScrypt/

noname#19175 · Answer

結局独自の暗号化スクリプトを作るか、DQ9さんの出されているURLのライブラリを使って、URLとパスワードを暗号化するくらいだと思います。

とはいえ、URLは復号できるものじゃないと、location.hrefに入れられないので、
パスワードはわからなくても、復号部分をとりだすことでURLを見つけられるんですけどね。（´・ω・`）
つまり、解析を恐れながらlocation.hrefを使う時点で、パスワード＝ファイル名の一択になるんじゃないでしょうか？

パスワード＝ファイル名というのは、
総当たりされるとサーバーへのアクセスが無駄に増えたりするので、あまり勧められたものではないんですけどね。

HTMLごと暗号化して、解析のやる気をなくさせるというのがベターだと思いますが、
あまりにやりすぎると、アクセスできないー＞アクセスできないなら来る必要がない、つまり訪問者減少につながりかねませんので、ご参考まで。

UKY · Answer

すみません。余計に誤解を招きそうなので私の先ほどの回答 (No. 7) の前半部分は撤回します。

UKY · Answer

一つ誤解がないようにいっておきますけど、No. 4 の DQ9 さんが紹介されたスクリプトはソースコードの難読化によくある「JavaScriptのメソッドや配列を使って複雑にしているにすぎない」ものではありません。

で、パスワードをファイル名にする方法は古典的ですが確実なので私もこの方法を薦めます。
「長いファイル名だと不便なこと、同じパスワードで別のリンクを参照するときにはディレクトリを別にする必要がある」などの欠点 (?) はスクリプトを使えばある程度緩和できます。

参考URL：http://www.geocities.jp/hiro00312/source/sample/011/index.html

noname#17489 · Answer

パスワードで保護したい部分を暗号化して、利用者にパスワードを入力させたパスワードを用いて復号化するスクリプトを入れておけば多少はどうにかなります。
また、ファイル名をパスワードにするなら、パスワードとファイル名を連結させた文字列のハッシュを実際のファイル名にするといいかもしれません。管理が多少は自動化できそうです。
ハッシュを求めるのは#4の参考リンクで。

noname#22259 · Answer

＃４のＵＲＬのjsファイルを見ての感想：
JavaScriptでパスワードを掛ける問題とＨＴＭＬのソースを見られない
ようにする問題は、ひと頃のＮＧや掲示板で盛んに論じられた問題で、
古典的な結論の出ている問題といっても過言ではない。
どんなに隠蔽してもソースがそこにあるかぎり、絶対に解読されないと
いうことはない。たかだか、JavaScriptのメソッドや配列を使って複雑
にしているにすぎない。パスワードを隠蔽する最も安全なコードは、
既に回答したことだが、何らかの文字列（エスケープ関数を経た文字
列でも）と照合するのではなく、リンク先をパスワードにするのが最も
隠蔽性が高いと思う。パスワードの更新も楽だ。

noname#18558 · Answer

これはどうですか。
絶対解けないと思います。

参考URL：http://www.onicos.com/staff/iz/amuse/javascript/expert/

noname#19206 · Answer

じゃぁ、HTMLのソースをJavaScriptで暗号化してみてはどうでしょう？少しは分かりにくくなります。
やり方がわかればソースを複合化することは簡単ですが、分からない人には有効です。

参考URL：http://www.vector.co.jp/soft/win95/net/se342771.html,http://www.vector.co.jp/soft/win95/util/se341054.html

yambejp · Answer

サーバーサイドの仕組みがなければ何をやっても
バレバレでしょう。
せめて.htaccessでもつかえれば別ですが。

noname#22259 · Answer

単純にテキストフィールドに入力させてから、
その値を拾って飛ばせばいいのでは？
（パスワードはファイル名で）
document.getElementById('inputId').value

javascriptでパスワードを保護する方法

結局独自の暗号化スクリプトを作るか、DQ9さんの出されているURLのライブラリを使って、URLとパスワードを暗号化するくらいだと思います。

すみません。

一つ誤解がないようにいっておきますけど、No. 4 の DQ9 さんが紹介されたスクリプトはソースコードの難読化によくある「JavaScriptのメソッドや配列を使って複雑にしているにすぎない」ものではありません。

パスワードで保護したい部分を暗号化して、利用者にパスワードを入力させたパスワードを用いて復号化するスクリプトを入れておけば多少はどうにかなります。

＃４のＵＲＬのjsファイルを見ての感想：

この回答への補足

これはどうですか。

じゃぁ、HTMLのソースをJavaScriptで暗号化してみてはどうでしょう？少しは分かりにくくなります。

サーバーサイドの仕組みがなければ何をやっても

単純にテキストフィールドに入力させてから、

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング