質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.80%

URLでベーシック認証にログインする場合にアクセス解析に読み取られない方法

解決済

回答 4

投稿

  • 評価
  • クリップ 0
  • VIEW 3,646
退会済みユーザー

退会済みユーザー

ベーシック認証のIDが “user” 、パスワードが “password” の場合は、
http://user:password@example.com
にてログイン可能かと思いますが、アクセス解析を入れている場合は、このID/passは知られてしまうかと思いますが、知られないようにする方法はありませんでしょうか。

アクセス解析を別の担当に任せているのですが、純粋にアクセス解析は設置したままにしたいのですが、パスワードは知しられないでいたい、という特殊な状況下にあります。

上記ですとアクセスしているURLがわかるので、パスワードも知られていました。

この場合は短縮URLを使えば良いのでしょうか。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

+4

ユーザIDとパスワードは、URLから取り外されて、AuthorizationヘッダにBase64エンコードされて付加されます。ヘッダ全部を保存するようなアクセス解析であれば、隠すことは出来ません。ヘッダ全部を保存しない仕様なら、保存対象にAuthorizationヘッダが入ってなければ、隠れます。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/08/01 21:33

    アクセスログにも’http://user:password@example.com’の形で残らないんですね。知りませんでした。

    キャンセル

  • 2016/08/01 22:33

    実際のリクエストはこんな感じです。
    GET / HTTP/1.1
    Host: example.com
    Authorization: Basic xxxxxxxxxx
    その他ヘッダ~~

    キャンセル

  • 2016/08/01 22:59

    てっきり、ブラウザから`http://user:password@example.com`で飛んで行くんだと思ってました。
    実際のアクセスも確認してみました。思い込みは怖いですね^^;

    キャンセル

checkベストアンサー

+1

アクセス解析と言っても大きく三つのタイプに分けられます。ログ型、タグ型、キャプチャ型の三つです。
参考: アクセス解析ツール3つのタイプ - ログ型/ビーコン(タグ)型/パケットキャプチャ型(第2回) | アクセス解析 Step by Step | Web担当者Forum
この三つのどれかによってどこまで解析できるかが変わりますので、そこをまずご注意ください。

ログ型

まず始めに「ブラウザはHTTPサーバーにURLそのものをリクエストしているのでは無い」とだけ言っておきます。HTTP/HTTPSのURLはスキーマ://ユーザ名(オプション):パスワード(オプション)@ホスト:ポート(オプション)/パス(オプション)?クエリ(オプション)という構成です。ブラウザはURLのリンクを辿るとき、まず、このURLの構成要素を全てバラバラにします。オプション扱いで足りない部分のいくつかははデフォルト値(たとえば、HTTPならポートは80など)で補います。そして、それらの要素でHTTPのリクエストを作成し、HTTPサーバーへアクセスします。つまり、HTTPリクエストにはURLそのものがなく、バラバラにされた状態でそれぞれが入っています。ユーザ名とパスワードはホストやパスとは切り離された一ヘッダとして含まれます。

さて、このリクエストをログとして保存するとき、ほとんどのWebサーバーではユーザ名とパスワードが含まれた部分をログに書き込みません(デバッグ目的であえて書き込んでいる場合もあるでしょうが、少なくともデフォルトでそうなるアプリケーションは無いはずです)。つまり、そのようなアクセスがあってもログにはユーザ名とパスワードは記録されないと言うことです。ですので、アクセス解析でユーザー名とパスワードを知ることはできません。

タグ型

ではタグ型はどうなのかというと、こちらはJavaScriptで現在のURLを取得しています。window.locationを使えば現在のURLが取得可能です。ただ、Google Chromeで確認する限り、ユーザ名とパスワード部分はアクセス成功時には現在のURLから削除されてしまっています。そのため、タグ型ではユーザ名とパスワードがあった元のURLを知る方法がないため、こちらもアクセス解析で知ることはできません。

※ Google Chrome以外のブラウザは未確認です。セキュリティ的な制限だと思われますので、他ブラウザも同様と思われます。詳しい情報を知っている方は教えてください。

キャプチャ型

上の三つに比べ、こちらの方法は何でも取得できます。ただし、暗号化されてしまうと何にもわかりません(Webサーバの秘密鍵を持っていれば別ですが)。アクセス解析が目的であれば(秘密鍵ももっていて)すべて見えると考えて良いでしょう。この場合はどうしようもありません。どんな形式であろうが全ての通信を解析されてしまいます。信頼できない第三者にキャプチャ型をさせること自体が得策ではありません。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

おそらく今回指しているアクセス解析とは、閲覧するページのアクセス解析のことをさしておられるのだと思います。
その場合は短縮URLを使っても意味がありません。
それよりも毎回ダイアログにIDとPWを入力したり、フォーム認証(ログインフォームを使った認証)を使ったほうがいいと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

BASIC認証のセキュリティなんてあってないようなもん

ネットワーク管理者にユーザー名やパスワードを秘匿したいなら
最低でもhttps運用するログインシステムを使ってください

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.80%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る