質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
Safari

SafariはAppleのウェブブラウザであり、Mac OS XとiOSのデフォルトのブラウザです。

Webサーバー

Webサーバーとは、HTTPリクエストに応じて、クライアントに情報を提供するシステムです。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

Q&A

0回答

7761閲覧

Safari等だけBasic認証が何度も聞かれる

raccy

総合スコア21739

Safari

SafariはAppleのウェブブラウザであり、Mac OS XとiOSのデフォルトのブラウザです。

Webサーバー

Webサーバーとは、HTTPリクエストに応じて、クライアントに情報を提供するシステムです。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

1グッド

4クリップ

投稿2020/04/10 15:09

編集2020/07/11 06:35

現象の詳細

昨今の事情に鑑み、内部専用サイトについて、外部からWAF経由でアクセスできるようにしました。ただ、そのまま無条件アクセスできるのはよろしくないので、関係者だけがアクセスできるようWAFでBasic認証をかけるようにしました。

アクセスは下記の流れで通信していきます。

  1. WAF (Apache HTTP Server + ModSecurity2)
  2. ロードバランサー (nginx)
  3. Webサーバー (nginx)
  4. アプリケーションサーバー (puma + 自作Webアプリ)

※ 3.と4.は一つのサーバーに同居して、サーバー自体は冗長化している。1.と2.はそれぞれ別サーバーでホットスタンバイの二重化。全てオンプレ。

WAFの所でAuthType Basic等を設定して、普通のBasic認証を行っています。内部からは2.のロードバランサーに直接アクセスできるため、Basic認証はかかりません。

ほとんどの場合はうまくいくのですが、次のOSとブラウザでのみ、何度もBasic認証が聞かれます。

  • iOS Safari
  • iOS Crome
  • iPadOS Safari
  • iPadOS Chrome
  • macOS Safari

次のOSとブラウザはBasic認証は一回のみです。

  • Windows10 Edge/Chrome/Firfox
  • macOS Chrome
  • iOS Edge

同じ仕組みがもう一つ(対象のWeb画面はアプライアンス製品の組み込み)あるのですが、そちらは、駄目なSafariとかでも一回のみです。なぜかSafariだけ聞かれて、なぜか該当のWebアプリだけが発生する謎な現象が発生しました。

Webアプリの詳細

WebアプリはRuby制でHanamiフレームワークを使用した自家製の物です。少し他のWebアプリと変わったところと言えば<script type="module" src="...">を使っていることぐらいです。複数のJavaScriptをモジュールベースで遅延読み込みし、その中でもimport文でJavaScriptの読み込みをいくつか行っています。

動作の検証と推測

Basic認証は、一回成功すれば、それ以降の通信は毎回Authorizationヘッダがついて、自動的に認証してくれるはずです。しかし、SafariではモジュールベースのJavaScript読み込みにバグがあり、Authorizationヘッダを付けてくれないのでは無いかと推測しました。

実際に、macOSのSafariで検証したところ、モジュールベースのJavaScript読み込みについて、Authorizationヘッダを付けずにアクセスしようとしているようでした。もう一回認証を通すと、その時読み込もうとしたJavaScriptは正常に読み込みますが、そのJavaScript内のimport文でのJavaScript読み込みについてはAuthorizationヘッダを付けてくれず、またまた再度認証が聞かれる状態でした。つまり、import文のネストの数だけBasic認証が聞かれてしまうと言う状況です。

なお、これはSafariのみで発生しています。iOS/iPadOSのChromeでも起きるのは、内部でSafariのエンジンを用いているか、内部エンジンが古いからと言う可能性が考えられます。

Safariなんとかしたい

現在、iPhoneからアクセスしたいという要望があり、可能であれば対応したいと考えています。現象を回避する何かいい方法はありませんでしょうか?

Webアプリ本体は触らずに、WAFの部分を変えるだけでいけるのがベストです。

JavaScriptだけBasci認証を外すというのも考えられますが、本来は内部アクセス限定のサイトであるため、内部情報が含まれないはずのJavaScriptであっても、何も制限せずに外から見える形にしたくはありません。(その後の状況の追記にあるとおり、この方法で回避できることは確認しています)

なお、WebアプリでモジュールベースのJavaScriptを普通の読み込みに変えるというのは、webpackとかでimport文をなくしていく仕組みを入れる所から始める必要があるため、工数的にちょっとすぐに対応できるものではありません。ひとまず、その方法は無しでお願いします。

その他の情報

  • ModSecurity2の設定はrecommendedを使用し、細かいカスタマイズはありません。
  • 通信はHTTPS化されています。
  • Basic認証がない内部からの場合は、Safariであっても正常にアクセスでき、Webアプリを利用できます。

その後の状況(2020年7月11日追記)

しばらく回答もなく、良い解決策が見つからないため、JavaScriptが含まれるassets周りのみBasic認証から外すことで現在は回避できています。assetsにあるファイルは静的なコンテンツのみであり、第三者に閲覧されても問題ないという判断です。

ただ、やはり、妥協していることには変わりありません。引き続き、良い方法がないか、回答を募集します。

Lhankor_Mhy👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだ回答がついていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問