アクセス制限やhtaccessを置けないときのファイルの隠し方

いつも勉強させて頂いております。

表題の件ですが、

楽天の商品検索APIをjavascriptで作成しております。

アプリIDを直接記載していると、悪用される恐れがあることから、
別ファイルにて管理し、管理ファイルからアプリIDを読み込んでいます。

この別ファイルですが、使用しているサーバーに制限があり
・PHPやCGIなどのサーバー側で制御するようなものは不可
・htaccessの設置不可
となっております。
また、ファイルは表示領域に置かないといけない為URLが分かれば
ブラウザから簡単にIDを見ることができるようになっております。

私が考えつく限りは
・アクセスができないようにする（アクセス制限）
・javascriptを難読化
なのですが、
悪用されないようにほかに何か良い方法はないでしょうか？

よろしくお願いいたします。

以下にアプリIDを参照する際のコード部分を追記します。

javascript
1
2$.get("ファイルパス", function(test){
3 $.get('https://app.rakuten.co.jp/services/api/IchibaItem/Search/20170706?', {
4            applicationId: test,
5            keyword: 'テスト',)
6～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～(以下略)

m.ts10806

2018/04/23 06:52

「別ファイル」はどのように読み込まれているのでしょうか。読み込み部分のコードを追記いただけますか？また、「アプリIDで悪用」とは具体的にどのような事態を想定されていますでしょうか？本来公開されているものであれば、そのアプリIDを管理している側の管理責任下にあるように思います。

beginner_t

2018/04/23 08:04

記載の通り今回は楽天APIというものを利用しています。APIにアプリIDというものがあり、悪意ある人が手に入れて大量のアクセスを行いAPIをダウンさせたとき、アプリケーションIDは自分のものなので、自分がアカウント停止などの処分をされる恐れがあると別の質問で教えていただきました。そのアプリIDを管理しているのは私なので、秘匿できるように対策を考えており、今回質問させていただきました。

行動規範の内容に同意します

回答2件

ベストアンサー

この条件では、秘匿するのは無理です。

というのも、「サーバー側で制御するようなもの」が置けないような環境でJavaScriptで動作するものを実行している、ということは、それは閲覧者のブラウザの中で動作している、ということになります。

そのような状況下では、JavaScriptを実行するブラウザに対して何かを隠す、ということは不可能です。いくらコード上から隠そうとしても、投げられるリクエストを開発ツールで見れば、キーは明記してあるはずです。

投稿2018/04/23 07:32

maisumakun

総合スコア145183

beginner_t

2018/04/24 01:15

ご回答いただきありがとうございます。秘匿するのは無理等いうことですが、そのような場合APIは公開しないほうが良いという判断をしたほうがよいでしょうか？セキュリティに詳しくないのでご回答いただければ幸いです。

maisumakun

2018/04/24 01:18

そうですね、不正利用されないことを前提にするなら、公開せず個人的に使う or APIキーをサーバに置いて、サーバから楽天にアクセスするように改造する、の2択です。

beginner_t

2018/04/26 00:53 編集

APIキーをサーバに置いてというのは別のサーバということでしょうか？今実際に開発者ツールで確認したところ、Request URLやQuery String ParametersにAPIキーが乗っていることが確認できました。自由度の高いサーバの場合で秘匿するようにプログラミングした場合は開発者ツールで確認してもAPIキーはでないということでしょうか？よろしくお願いいたします。

maisumakun

2018/04/26 01:00

楽天のAPIキーは「自前サーバ⇔楽天」の間だけで使って、「ブラウザ⇔自前サーバ」の間はキーなしで通信させることで、APIキーをブラウザに渡さずにやり取りすることができます。ただし、自前サーバが不正利用されないように、外部に見せるものを考慮しておく必要はあります。

beginner_t

2018/04/26 01:21

ご回答ありがとうございます。楽天に問い合わせたところ、「API利用のための認証は、アプリID（デベロッパーID）とアプリケーションシークレットの両者もって行われますが、その両者を知る他者が存在した場合は、その可能性も十分考えられます。」と回答をいただきました。アプリケーションシークレットというコードは楽天デベロッパーにログイン後に見れるものなのですが、アプリIDが漏れた場合アプリケーションシークレットも漏れるのかどうかを知らべたいと思います。いろいろアドバイス頂きありがとうございました。

行動規範の内容に同意します

既に回答がある通り、提示の条件下では無理です。

悪用された際の対策、悪用されないための対策、アカウント停止について
提供元に確認したほうが良いかと。
利用者側で何とかしようとするものではないと思います。

javascriptでそのアカウント情報をとってきてもブラウザ開発ツールからalert()なりconsole.log()なりを処理に付け加えれば出力可能ですし、
ではそれを阻止するように例えばGoogleに依頼してやってもらえるかというと「元々の目的外の利用は全て悪用」以外何ものでもないですね。
包丁は野菜や果物などを切るために使うもの。それ以外の目的では本来使ってはいけないものです。

投稿2018/04/26 00:57

m.ts10806

総合スコア80850

beginner_t

2018/04/26 01:17

ご回答ありがとうございます。楽天に「アプリIDが漏れた場合、悪用は可能でしょうか」と問い合わせたところ、「API利用のための認証は、アプリID（デベロッパーID）とアプリケーションシークレットの両者もって行われますが、その両者を知る他者が存在した場合は、その可能性も十分考えられます。」と回答をいただきました。アプリケーションシークレットというコードは楽天デベロッパーにログイン後に見れるものなのですが、アプリIDが漏れた場合アプリケーションシークレットも漏れるのかどうかを知らべたいと思います。

m.ts10806

2018/04/26 01:19

そうですね。「ログイン後に見れる」ということは「利用者しか知りえない情報」となるので、そこはもれないように管理されているものと思われます。ユーザーパスワードみたいなものですね。

beginner_t

2018/04/26 01:25

アプリIDが漏れてもアプリケーションシークレットが漏れないのであれば、秘匿の必要性があまりなくなるので、今回の懸念がなくなります。それを一度問い合わせてみたいと思います。ありがとうございます。

m.ts10806

2018/04/26 01:38

少しでも前進できたようで何よりです。

行動規範の内容に同意します

あなたの回答