Q&A
URL をある程度の期間で別のにするとか?
よく「URLを知ってる人だけ閲覧できます」ってありますけど、あれは
- URLを長くてランダムなものにする
- headに
<meta name="robots" content="noindex">を書く
をやればいいですか?他に何かすることはありますか?
回答2件
0
URLのランダム文字列が偶然当たる確率とベーシック認証が偶然あたる確率を比べると大差ないというか、URLの長さは容易に長くできるので、総当たりのリスクだけ考えれば、むしろベーシック認証よりも安全とも考えられます(m.ts10806さんに-1したのは私ではないですが)。
URLのみによる欠点は、以下のようなものです。
- 誰が、いつアクセスしたか分からない
- ユーザー毎にアカウントロックやアクセス拒否できない
- アクセスログに秘密情報が記録されるので、アクセスログの漏洩が即情報漏えいにつながる
- Referer経由でURLが漏洩した場合に情報漏えいの原因になる
○○をやればいいか? という質問にはお答えしにくいですね。上記のようなリスクを許容できる場合は使えばよいと思います。
投稿2021/06/14 01:58
総合スコア11705
0
ベストアンサー
URL知らなくてもランダム文字列投入することにより当たることはあるので、
ベーシック認証やIPによるアクセス制限かけるなど「URL叩いても赤の他人がアクセスできないようにする仕組み」は必要に思います。
投稿2021/06/12 08:59
総合スコア80875
あなたの回答
tips
プレビュー
