人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

ベーシック認証のIDが “user” 、パスワードが “password” の場合は、
http://user:password@example.com
にてログイン可能かと思いますが、アクセス解析を入れている場合は、このID/passは知られてしまうかと思いますが、知られないようにする方法はありませんでしょうか。



●質問者: maintour15
●カテゴリ:ウェブ制作
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● y-kawaz
●150ポイント

サーバ側のアクセスログの話であればログに残るのはユーザ名のみでパスワードは記録されません。
また、GoogleAnalytics などブラウザ側でJSを使ってログ集計を行う系の仕組みでもやはりその認証情報は取れないようになっている筈ですので問題ないでしょう。

ただしそもそも、URLにBASIC認証を含めてアクセスさせるやり方自体が今時は非推奨ですのでブラウザによっては正常に利用できないこともあります(古いブラウザは大丈夫でも最新ではセキュリティ上の配慮から無効にされていることがあります)。
なので、URLとID/PASSは別途利用者に伝えて普通にBASIC認証ダイアログで入力してもらうのが良いと思います。その際ユーザがブラウザにID/PASSを保存させる運用でも問題無いでしょう。


maintour15さんのコメント
たまに自動ツールを使う方もいるサービスなので、URL形式でログインは出来るままが良いのですが、JSを使ったアクセス解析ではパスワードを知られてしまっていたのですが、ものによってはJSでも取得出来てしまうのでしょうか。 ヘッダを解析出来るJSなど・・・

2 ● こばさん
●150ポイント ベストアンサー

もしHTMLに埋め込まれたJavaScriptからURLの認証部が取得できてしまったら、そのブラウザの深刻な脆弱性ですよ。

経路にプロキシがあったりパケットキャプチャされたりしたら、平文ですからHTTP通信のヘッダーから読み取られてしまいますが、ユーザー情報は、そのホスト(HTMLの相手先)とのHTTP通信のなかでのみ交わされる内容であって、別ホストに置かれたJavaScriptファイルには無関係な話です。

関連質問

●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ