• ベストアンサー

基本認証でどのようにユーザーを判別すればいいのでしょうか?

基本認証でユーザーを判別したいと思っていますが方法が分かりません。 例えば@niftyなどは会員サイトのログインを基本認証で行っています。その際 oshiete というIDでメールボックスにログインした際 oshiete に届いたメールが表示されます。又 goo というIDでログインした際は goo のメールが表示されます。これはいったいどのような仕組みになっているのでしょうか? 私の乏しい知識で考えてきたところ環境変数に格納してあるIDを取得し、ただそのIDのログを読み込んでいるだけと考えました。もしこの場合環境変数を自由自在に変換することができるブラウザを使用して goo というIDでログインしたのにもかかわらず環境変数のIDを oshiete に変換すれば oshiete のメールを操作できてしまうのではないでしょうか?こうなるとセキュリティ面で心配ですがこのような事は可能なのでしょうか? どうぞよろしくお願いいたします。

  • CGI
  • 回答数5
  • ありがとう数4

質問者が選んだベストアンサー

  • ベストアンサー
  • phoenix343
  • ベストアンサー率15% (296/1946)
回答No.1

環境変数なわけないでしょう…^^;) 最近のでは、HTTP認証、というのがありHTTP/1.1ではその仕様が決められています。 HTTP 認証: 基本アクセス認証及びダイジェストアクセス認証 http://www.studyinghttp.net/cgi-bin/rfc.cgi?2617 それ以外にも方法が以下のページで。 パスワード承認・アクセス制限スクリプト http://allabout.co.jp/career/cgiperl/subject/msubsub_accesscontrol.htm 参考になれば。

その他の回答 (4)

  • ishitani
  • ベストアンサー率25% (10/40)
回答No.5

>基本認証ではなくそれはフォームタイプなのでは? >基本認証はセッションID等で認証を維持しているのではなく >毎回ブラウザがIDとパスを吐き出すことによってあたかも >継続されているように見えるだけですが いや、実際にBASIC認証ではヘッダに下記のようなものがつきます。 GET / HTTP/1.0 Authorization: Basic aXNoaTo= ... これはユーザとパスワードが:で区切られたものが単純にBASE64でエンコードされているだけのものです。、 なので、これを使ってセッション管理をしているサイトなど、もはや存在しないということが言いたかったのです。 セッション管理はワンタイムクッキーによって行われていますよ。 (普通のサイトならば)

Intel_404
質問者

お礼

回答ありがとうございました。 なるほど、参考になります。

回答No.4

>こうなるとセキュリティ面で心配ですが 心配なし。 >ソフト名は忘れましたが確かにありました。 そのような聞きかじりのデタラメを言っていると恥をかきますよw 自由自在とは言いすぎでは?

Intel_404
質問者

お礼

いやぁ、ネタとかじゃなくて本当にあったんですよ。ブラウザの環境変数を指定して吐き出すツールが。でたらめではありません。といってもそのツールの名前を覚えているわけではないので。。。

  • ishitani
  • ベストアンサー率25% (10/40)
回答No.3

大抵はCookieを利用して'ユーザ認証の継続'、つまりセッションの継続をしています。ほとんどWebサイトではこれを利用していることでしょう。 単純なCookieであれば、仰るとおりユーザーを偽装できます。 ※しかも別IDであらかじめログインする必要もありません。 ただ、そんな単純な実装は今時なくて、Cookieも暗号化され、セッション毎に(ある意味)変えています。 RSAのSecureID等を使っている人を見たことはないでしょうか?あのワンタイム・パスワードと同じ原理です。 ある意味、といったのは話せば長くなるので省略しますが、ちゃんと作りこんだサイトでは心配するようなことはありません。

Intel_404
質問者

お礼

すいません、質問内容と異なります。 > 大抵はCookieを利用して'ユーザ認証の継続'、つまりセッションの継続をしています。 ですが、基本認証ではなくそれはフォームタイプなのでは?基本認証はセッションID等で認証を維持しているのではなく毎回ブラウザがIDとパスを吐き出すことによってあたかも継続されているように見えるだけですが。 回答はありがたいのですが全く異なったものになりますので残念ながら参考にはなりません。。

  • esecua
  • ベストアンサー率17% (3/17)
回答No.2

>環境変数を自由自在に変換することができるブラウザを使用して そんなものはない。あるなら誰でもハッカーさんになれるだろう。 もしかしてブラウザ情報や言語情報を変えられる程度で何でも自由自在に他の環境変数を変えられると思っているのかな。 ブラウザの設定なんかでREMOTE_USERのなりすましは無理。悪巧みはやめておくことだ。

Intel_404
質問者

お礼

回答ありがとうございます。 eSecuaさん、私をご存知ですか?Intel_404です。知らなかったら忘れてください。 さて、本題ですが目的は悪巧みではありません。現在会員サイトを作成しています。その際に使用するログイン機能の安全性を考え基本認証かそれともフォームタイプか考えています。それで基本認証の弱点を探していたわけです。 ところでブラウザ情報など簡単には変えることはできないといっていますがソフトを使用すれば変換できます。ソフト名は忘れましたが確かにありました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. プログラミング・開発
  4. CGI

関連するQ&A

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVE セレクト

質問する