ベーシック認証のIDが “user” 、パスワードが “password” の場合は、

http://user:password@example.com
にてログイン可能かと思いますが、アクセス解析を入れている場合は、このID/passは知られてしまうかと思いますが、知られないようにする方法はありませんでしょうか。

回答の条件
  • 1人1回まで
  • 13歳以上
  • 登録:2016/08/01 20:00:52
  • 終了:2016/08/08 20:05:03

ベストアンサー

id:wakwak_koba No.2

こばさん回答回数97ベストアンサー獲得回数132016/08/02 17:46:52

ポイント150pt

もしHTMLに埋め込まれたJavaScriptからURLの認証部が取得できてしまったら、そのブラウザの深刻な脆弱性ですよ。

経路にプロキシがあったりパケットキャプチャされたりしたら、平文ですからHTTP通信のヘッダーから読み取られてしまいますが、ユーザー情報は、そのホスト(HTMLの相手先)とのHTTP通信のなかでのみ交わされる内容であって、別ホストに置かれたJavaScriptファイルには無関係な話です。

その他の回答(1件)

id:y-kawaz No.1

y-kawaz回答回数1419ベストアンサー獲得回数2252016/08/02 12:11:34

ポイント150pt

サーバ側のアクセスログの話であればログに残るのはユーザ名のみでパスワードは記録されません。
また、GoogleAnalytics などブラウザ側でJSを使ってログ集計を行う系の仕組みでもやはりその認証情報は取れないようになっている筈ですので問題ないでしょう。

ただしそもそも、URLにBASIC認証を含めてアクセスさせるやり方自体が今時は非推奨ですのでブラウザによっては正常に利用できないこともあります(古いブラウザは大丈夫でも最新ではセキュリティ上の配慮から無効にされていることがあります)。
なので、URLとID/PASSは別途利用者に伝えて普通にBASIC認証ダイアログで入力してもらうのが良いと思います。その際ユーザがブラウザにID/PASSを保存させる運用でも問題無いでしょう。

id:iori753

たまに自動ツールを使う方もいるサービスなので、URL形式でログインは出来るままが良いのですが、JSを使ったアクセス解析ではパスワードを知られてしまっていたのですが、ものによってはJSでも取得出来てしまうのでしょうか。
ヘッダを解析出来るJSなど・・・

2016/08/02 14:01:38
id:wakwak_koba No.2

こばさん回答回数97ベストアンサー獲得回数132016/08/02 17:46:52ここでベストアンサー

ポイント150pt

もしHTMLに埋め込まれたJavaScriptからURLの認証部が取得できてしまったら、そのブラウザの深刻な脆弱性ですよ。

経路にプロキシがあったりパケットキャプチャされたりしたら、平文ですからHTTP通信のヘッダーから読み取られてしまいますが、ユーザー情報は、そのホスト(HTMLの相手先)とのHTTP通信のなかでのみ交わされる内容であって、別ホストに置かれたJavaScriptファイルには無関係な話です。

  • id:deep_one
    Basic認証って普通はHTTPヘッダで送信するものなので、書かれているURLの意味が分からない。そんな変な入力方があったっけ?
  • id:a-kuma3
    >>
    そんな変な入力方があったっけ?
    <<
    ある。
    https://www.ietf.org/rfc/rfc1738.txt
    3.1. Common Internet Scheme Syntax
  • id:deep_one
    使われているのを見たことがなかった。参考になりました。
  • id:a-kuma3
    しょぼいプロクシ(401が返ってきたら、それっきりみたいな)を通して外部の ftp サイトにつながなきゃいけないんだけど http のポートしか開いてなくて、とか、そんなときに使いました。

    もう、遠い昔の話です。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません