サーバ側のアクセスログの話であればログに残るのはユーザ名のみでパスワードは記録されません。
また、GoogleAnalytics などブラウザ側でJSを使ってログ集計を行う系の仕組みでもやはりその認証情報は取れないようになっている筈ですので問題ないでしょう。
ただしそもそも、URLにBASIC認証を含めてアクセスさせるやり方自体が今時は非推奨ですのでブラウザによっては正常に利用できないこともあります(古いブラウザは大丈夫でも最新ではセキュリティ上の配慮から無効にされていることがあります)。
なので、URLとID/PASSは別途利用者に伝えて普通にBASIC認証ダイアログで入力してもらうのが良いと思います。その際ユーザがブラウザにID/PASSを保存させる運用でも問題無いでしょう。
▽2
●
こばさん ●150ポイント ベストアンサー |
もしHTMLに埋め込まれたJavaScriptからURLの認証部が取得できてしまったら、そのブラウザの深刻な脆弱性ですよ。
経路にプロキシがあったりパケットキャプチャされたりしたら、平文ですからHTTP通信のヘッダーから読み取られてしまいますが、ユーザー情報は、そのホスト(HTMLの相手先)とのHTTP通信のなかでのみ交わされる内容であって、別ホストに置かれたJavaScriptファイルには無関係な話です。