- ベストアンサー
特定の端末のみからログイン可能なアクセス制御
ショッピングサイトを製作中なのですが、ひとつのIDに対して、特定の端末のみからログインさせる必要があります(IDとパスワードさえわかれば、どの端末からでもログインできるようにさせたくない)。 これを実現するのになにかよい方法はありますでしょうか? 電子証明書で実現できるのではないかと思っているのですが、具体的にどうしてよいかわからず困っています。また費用はどの程度かかりますでしょうか?会員数に比例して費用が発生するのでしょうか?また、導入の手間はどの程度ですか?会員側でも手間を必要とするでしょうか? あるいはまた、もし電子証明書以外の方法があれば、是非ともご教授願いたいです。
- mars_kreuz
- お礼率72% (195/269)
- ネットワーク
- 回答数2
- ありがとう数0
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
ご想像通り、クライアント証明書で実現できます。 まず、サーバーがIISならクライアント証明書の他にSSLサーバー証明書も必要になりますが、双方の証明書の認証局が同じである必要はありません。 サーバーにApacheを使用するならばクライアント証明書のみでも可能です。 いずれにしても、会員にクライアント証明書を発行するための認証局を自分で構築する必要があります。 正直に言って、OpenSSLだと拡張領域に独自の内容を定義するのはハードルが高いので、「電子証明書のシリアル番号 = 会員ID」でクライアント証明書を発行するのが妥当でしょう。 クライアント証明書の発行に際しては、VBscriptを使うと端末側でCSR(証明書作成要求)を作ることができますが、ブラウザがIEに限定されてしまいます。 サーバー側で秘密鍵+電子証明書を作り、pkcs#12形式でダウンロードさせるとブラウザやOSに依存せずにアクセスが可能です。ただし、この場合にはダウンロードした電子証明書を複数の端末にインストールされる可能性があります。 仮にApacheを使ったとします。 その場合には、SSLOptions で +ExportCertData を指定すれば環境変数にBase64エンコードされたクライアント証明書が格納されるので、環境変数の中身と会員に発行した証明書を全文一致で比較すれば会員の特定ができます。 以上が端末特定の概略です。 導入の手間としては、プライベート認証局の構築とルート証明書のインストール、クライアント証明書の発行、会員がアクセスしたときの検証手順の確定、クライアント証明書を使うことの会員への周知と教育、などがあります。 ・・・、けっこう大変だと思いますよ。
その他の回答 (1)
- nnori7142
- ベストアンサー率60% (755/1249)
お尋ねの件ですが、自社Webサーバなのかレンタルサーバなのかで方法が異なりますが、例えばNTT-PCコミュニケーションズ「WebARENA」共用サーバ契約ですと、ログインセキュリティに独自SSLと共用SSLサービスを運営しており、オンラインショップ等の個人情報に重要機密データ通信を要求する場合には、ベリサイン認証させる契約の方がデータの機密性が良い点、更に会員登録制の登録制オンラインサイト・ログイン(ベーシック認証)を併用すると良いかと存じます。 年次料金については、共用サーバの契約容量により料金が違います。(参考までに・・http://web.arena.ne.jp/suitex/spec/price.html) オンラインショップ連動ホームページ開設の際のレスポンスは、共用サーバと専用サーバにて帯域保証及びサーバスペック割当て仕様が違います。専用サーバの方ですと、サーバ接続の際のロードバランサーもある程度のスペックを選択出来ますので、見込んでおりますアクセス・ユーザー(顧客)数を考慮して、共用サーバにするか専用サーバにするか選択して頂ければと存じます。 因みに、専用サーバの固定費については、「http://web.arena.ne.jp/dedicated/spec/」を参考に。 なるべくお奨め出来かねますが、自社サーバ構築・公開ですと、ある程度のスペックのサーバ、例えばHP製「ML350e Gen8」+光単独引込回線(NTT光ベーシック回線)、帯域保証設定可能な業務系ルーター「RTX1200」、「RTX3500」など、後回線上のロードバランサー切替(http://h50146.www5.hp.com/products/servers/proliant/support/support_02/support02_03_02.html)も考慮し、上記HPサーバ自身も負荷分散させる目的で、複数のご用意及びシステム同期も考慮しなければいけないかと存じます。
補足
ありがとうございます。 通常のVPSか、あるいはAWSを使用するかもしれません。No.2さんの仰るように、プライベート認証局で対応しようかなと考えています。 ちなみにAWSを使用した場合、アクセス制御に関して何かメリットがないかご存じないでしょうか?
関連するQ&A
- ネット ログイン時のIDやパスワードについて
Windows7 Professional SP1 を使用しています。 IE9を使用していますが、ショッピングサイトなどログインを求めるサイトを使用する際、ログイン画面に行くとIDやパスワードが勝手(?)に入りログインしてしまいます。 前に使用した時に、IDやパスワードを保存するをOKしているからだと思うのですが、この状態をクリアにしたいのですが、どうしたらいいのですか? 銀行のネットバンキングを利用しているのですが、契約は電子証明書でログインするにしているのですが、ある時ボケてIDとパスワード方式の方でログインしようしてIDをパスを入れてしました。その後色々なことを登録するように要求され(最初の設定をするように要求されます)、間違いに気づきすぐに登録を中止したのですが、以後、そのネットバンキングを利用しようとすると、勝手にIDとパスが入り登録の続きをするように画面が指示します。 使用するときは、電子証明書ログインのボタンを、IDとパスワード方式でログインされる前にクリックして使用していますが、大抵はID方式にほうになり、何回かチャレンジしてやっと電子証明書でログインできるという状態なんです。 勝手に入ってしまうIDとパスを何とかできる方法があれば教えてください。 よろしくお願いいたします。 わかりにくい文章ですいません。
- ベストアンサー
- Windows 7
- セキュリーティー証明書無効とログインできません
パソコンのメモリーが限界に来たので 不要なものを削除してたら 何かにログインするときに 「セキュリティー証明書が無効」とか 「セキュリティー証明書が有効期限切れ」とかで ログインして表示させることができません。 この質問サイトもいつもの会員IDでログインして最初はねられました。 会員IDの必要なサイトがほとんど全滅です セキュリティーの高いと思われるサイトほど 何もみれません サイトのアイコンなどもX印で表示されないものが多いです。
- ベストアンサー
- その他(インターネット接続・通信)
- 外部からの自動ログイン…不正アクセスについて
ある会社のサイトの会員限定ページに、人が作ったアプリケーションを使用し、 あらかじめ複数個あるIDとPASSを読み込み、自動ログインして、 その中にあるデータを取得したいと言っている人がいます。 ID、PASSはどれも正規に取得したものなのですが、 これって問題がありますよね。 会員限定ページはSSLで保護されているし、実現させてしまえば 不正アクセスになってしまうのではないかと思うのですが… そういう事はできないんだと教えてあげたいのですが、私も相手も パソコンについて詳しくありません。 分かりやすい説得方法や、説明が載ってるサイトってないでしょうか?
- 締切済み
- その他(インターネット・Webサービス)
- ログインできません・・・
いつもお世話になっています。 ログインIDとパスワードが必要な会員向けの HPで、ログインできずに困っています。 いつもは、ログインするページでIDを入れる所に 既にIDが入っていて、パスワードだけを 入力していました。 ですが今日になってIDが消えていて、疑問に思い ながらもIDから入力しましたが、どうやらIDが 間違っているようで、ログインできません。 いつもは自分で入れてなかったけれど、IDは記憶して いましたし、間違っているとは思えません。 IDを教えてもらうことは不可能なようです。 以前のように、IDを表示させることは できないのでしょうか?
- ベストアンサー
- その他(インターネット・Webサービス)
- ログインしたら他からログインできないようにしたい
PHP+MySQLで会員サイトを作っています。 1. 誰か一人がログインしていたら、そのログイン会員と同じIDとパスワードでログインしようとするとログインできないようにするか、元のログインしていた人が強制的にログアウトするようにしたい。 2. 一人のユーザーが複数アカウントを作って会員サイトを使いたい放題にするのを阻止したい。 そのため、「PC1台からは必ず1ユーザーのみしかログインできないようにしたい」です。 (複数PCを使われたら仕方ないかもしれません・・・) よく銀行サイトのようにログイン中に他のブラウザや端末からログインしようとすると「すでにログイン中です。ログインし直しますか?」のようになりますが、1.はこんな感じを考えています。 仕組みとしてはどのようにするのが良いのでしょうか? 1. ログイン時にセッションIDを作り、データベースにそのセッションIDとIPアドレスを記憶しておいて、Web上で何か操作するたびにブラウザ側のセッションIDとデータベース側のセッションIDを比べて同じなら操作を実行し、違うなら操作できないようにする。 2. ログイン中に別のブラウザからログインしようとすると、データベース側に保存されているセッションIDが違うのでログインできないようにする。 3. 同じIPアドレスですでにログイン中の場合、同じPCからは他のアカウントでログインできないようにする。 こんな感じでしょうか? 何か問題点やそもそもこの仕組は間違っていて常套手段があるなどありましたらお教えください。 なんとなく、IPアドレスのチェックはWiMAXなどは時間とともに変わったりするのであまり良くはないかもしれません。 どうぞよろしくお願い致します。
- ベストアンサー
- PHP
- 電子証明書取得時の権限について
Windows2000端末を使用しています。 Win2000には管理者権限、PowerUser権限、Guest権限、制限User権限などありますが、あるサイトの電子証明書をGuest権限のユーザーIDで端末を起動し取得したところ、制限User権限のユーザーIDで端末を起動したときもその電子証明書を使用できました。 が、また違うサイトで電子証明書をGuest権限のユーザーIDで取得しようとしたところ取得もできず、PowerUser権限での取得が出来ました。 電子証明書というのは証明書によっては、発行時に端末起動時のログインするユーザーIDの権限が関係してくるのでしょうか?
- 締切済み
- ネットワーク
- 会社のPCでログインすると IDとPW 丸わかり?
ショッピングサイトや会員制のサイトでログインする際に、 IDとパスワード(以下PW)を入力しますが、このIDとPWは ネットワーク管理者は調べようと思い調べればわかってしまうものでしょうか。 例えば、今こうやってOKWAVEで質問しており、その回答を 明日会社のPCで見ようと思った場合、ログインするために IDをPWを入力しなくてはいけません。 それ以外のサイトであっても、ちょっと休憩中にネットショッピングをするとか、 仕事に必要な資料をダウンロードするために、会員制のサイトにログインする際 ID PWが必要になると思います。 おそらく、ネットワーク管理者は見ようと思えば、サーバを調べればわかると思います。 見られて困ることはないのですが、しかし、PWを知られてしまうというのは怖いです。 特にネットバンキングなんて。 後、こうやって投稿している文章の内容までもわかってしまうのでしょうか。 これもおそらくわかるのではないかと思っております。 ちなみに、当社は休憩中は会社のPCであってもインターネット閲覧は可ですので、 その辺を取り上げる回答はご遠慮願います。 宜しくお願いします。
- ベストアンサー
- ネットワーク
- infoseekでログインできない
楽天の会員になっており、楽天からは普通にinfoseekのメールに入れます。 しかし、windowsにはログインできません、別にIDが必要なのか?教えてください。
- 締切済み
- その他(メールサービス・ソフト)
- ログイン出来ない
gooの会員登録しました。 一ヶ月程前に・・ 恋愛・男女関係 教えて! goo-教えてサイトで、 回答をしようと「回答」をクリックすると、新規会員登録画面が出てしまいます。 事務局に、回答をお願いしたところ、ID パスワードが間違えている。 正しく入力すればログインできるとのアドバイスですが、正しく入力してもダメです。 ID パスワードを変更して入力しても同じなのです。 その後、何度も事務局に質問メールしていますが、全く返信もありません。 ログイン出来る方法を教えて下さい。 尚、同じOK Waveの会員でもありますが、この様な事は一切ありません。
- ベストアンサー
- このQ&Aコミュニティーについて
- 会員制のログインは管理者は把握できるのですか?
例えばの話ですが、会員制のサイトにIDとパスワードを入力し、ネットショッピングをしていることなどは、管理者はすぐに把握できるのでしょうか?例えば何時何分から何時何分まで、どこのサイトにログインしていたとかをチェックできるのでしょうか?
- ベストアンサー
- ネット通販
補足
ありがとうございます。 結構大変そうですね。。。 Webサーバはapacheを使います。 プライベート認証局は自前で構築しなければいけませんか?所謂オレオレ認証局ですかね。たしかオレオレ認証局の場合、アクセスした時に信頼できない認証局ということで、セキュリティ警告がでるんですよね?会員への周知と教育というのはそのことでしょうか?このプライベート認証をベリサイン等の大手の認証局では対応できないのでしょうか。 複数の端末にインストールされる可能性というのは、会員が証明書をエクスポートして複数の端末にインストールした場合のことでしょうか。 また証明書の発行回数ですが、1つのIDにつき、例えば2回だけ発行するなどして、PCとスマートフォンの2台の端末だけからアクセスさせるなどのことが可能になるでしょうか?