INASOFT 管理人のひとこと

フリーソフトダウンロードサイト「INASOFT」の管理人矢吹拓也が日々の「ひとこと」を語るページです。
2021年1月1日より、旧ブログ(blog.inasoft.org)からお引越ししました。
・INASOFT Webサイト： https://www.inasoft.org/
・管理人のふたこと(長文記事/寄稿文)： https://www.inasoft.org/talk/
2022年7月下旬より再び本業多忙化してきているため、更新頻度は落ちます。 [2022/7/24 19:32]

目次 | ←前へ / 2016-07-27 01:43 / 次へ→ / 最新へ⇒

■余計なことをしてくるbotへの対策 - BASIC認証なんかどうだろう。

2016年 7月27日(水) 1:43:57 [さくらのブログから転記]

RSS配信中

昨日実名公表を行った、今回の騒動なわけですが、対策として、ダウンロードのzipファイルに「毎日変化するBASIC認証」をかけてbot避けすることで検討しています。

zipファイルそのものへの暗号化も考えたのですが、アップロード済みの全ファイルに暗号化をする手間と、ダウンロード後にユーザーが戸惑う可能性、なにより、以前の連続誤検知の時のような、ファイルの中身を見ないで誤検知に倒れるケースには全く意味をなさないことから、zipファイルそのものの暗号化は見送りました。

とりあえず、BASIC認証のダイアログに表示されるメッセージにIDとパスワードを書いておき、ユーザーに入力してもらう仕掛けにすれば、ユーザーは戸惑うこともなく、体良くbot避けにできるんじゃないかな、と考えています。

まぁ、パスワードを可変にするのは骨が折れそうなので、ユーザー名を可変（毎日定刻に更新）し、パスワードはpasswordとかに固定にしようかな、と。
悪意ある人を避ける目的だとこの方法ではダメだけど、bot避けならこれで十分だろう。

特定のREFERや特定のUAを持っているbotに対してアクセス拒否の対応を取れるのであれば、それが一番影響範囲が少なく安全なのですが、残念ながらそのドイツ企業の詳細がわかっていませんし、そもそも余計なことをしてくるbotはドイツからしか来ないとは限りません。

不特定多数のbot、未来に登場するbotへも対応を行うとしたら、やっぱり、BASIC認証を挟むのが一番確実ではないかな、と考えています。

Posted by stmkza at 2016/07/31 09:36:20
こんにちは、stmkzaです。
PHPを使えばBasic認証でPWを変えるのも簡単にできますよ。
参考になれば

Posted by Ayacy at 2016/07/31 11:06:53
投稿ありがとうございます。
PHPでできることは、ネットで検索してだいたい存じております。

今回の場合、パスワードを変えたいけどできなくて悩んでいるわけではなく、ユーザー名とパスワードのどちらか一方を定期的に変えたいと思った時、パスワードだと暗号化メソッドの呼び出しなど1アクション以上の簡易な手間が入ることと比べると、ユーザー名の変更なら1アクション以上簡易になるかなというそれくらいの考えで、ユーザー名の方を変更することを考えている次第です。

Posted by Ayacy at 2016/07/31 13:59:03
本日、時間が確保できたため試しているのですが、AuthNameに日本語(UTF-8)を使うと、手元のブラウザで文字化けすることに気づきまして、「人間への分かりやすい案内を出せるか」で早速困難にぶち当たっています。

目次 | ←前へ / 2016-07-27 01:43 / 次へ→ / 最新へ⇒

目次の表示：

ブログではないので、コメント機能とトラックバック機能は提供していません。ご質問・ご意見等はメール、フィードバックまたはTwitter等からお願いします。いただいたご質問・ご意見などは、この「管理人のひとこと」の記事に追加、あるいは新規の記事にする形で一部または全文をそのまま、あるいは加工させていただいた上で、ご紹介させていただく場合があります。
当サイトでは掲載内容による不具合等に関する責任を持ちません。また、内容の正確性についての保証もありませんので、情報をご利用の際は、利用者の自己責任で確認をお願いします。~~本ページは公開から1年半後の任意のタイミングで削除される予定です。~~

－最近の更新－

3212701 (+0050)[+0348]