INASOFT 管理人のひとこと


フリーソフトダウンロードサイト「INASOFT」の管理人 矢吹拓也 が日々の「ひとこと」を語るページです。
2021年1月1日より、旧ブログ(blog.inasoft.org)からお引越ししました。
・INASOFT Webサイト: https://www.inasoft.org/
・管理人のふたこと(長文記事/寄稿文): https://www.inasoft.org/talk/
本業の方のお仕事が再び忙しくなりつつあるので、断続的にしばらく更新が止まることがあります。

目次 | ←前へ / 2016-07-27 01:43 / 次へ→ / 最新へ⇒

■余計なことをしてくるbotへの対策 - BASIC認証なんかどうだろう。

2016/ 7/27 1:43:57


RSSRSS配信中

https://www.inasoft.org/








昨日実名公表を行った今回の騒動なわけですが、対策として、ダウンロードのzipファイルに「毎日変化するBASIC認証」をかけてbot避けすることで検討しています。

zipファイルそのものへの暗号化も考えたのですが、アップロード済みの全ファイルに暗号化をする手間と、ダウンロード後にユーザーが戸惑う可能性、なにより、以前の連続誤検知の時のような、ファイルの中身を見ないで誤検知に倒れるケースには全く意味をなさないことから、zipファイルそのものの暗号化は見送りました。

とりあえず、BASIC認証のダイアログに表示されるメッセージにIDとパスワードを書いておき、ユーザーに入力してもらう仕掛けにすれば、ユーザーは戸惑うこともなく、体良くbot避けにできるんじゃないかな、と考えています。

まぁ、パスワードを可変にするのは骨が折れそうなので、ユーザー名を可変(毎日定刻に更新)し、パスワードはpasswordとかに固定にしようかな、と。
悪意ある人を避ける目的だとこの方法ではダメだけど、bot避けならこれで十分だろう。

特定のREFERや特定のUAを持っているbotに対してアクセス拒否の対応を取れるのであれば、それが一番影響範囲が少なく安全なのですが、残念ながらそのドイツ企業の詳細がわかっていませんし、そもそも余計なことをしてくるbotはドイツからしか来ないとは限りません。

不特定多数のbot、未来に登場するbotへも対応を行うとしたら、やっぱり、BASIC認証を挟むのが一番確実ではないかな、と考えています。



Posted by stmkza at 2016/07/31 09:36:20
こんにちは、stmkzaです。
PHPを使えばBasic認証でPWを変えるのも簡単にできますよ。
参考になれば

Posted by Ayacy at 2016/07/31 11:06:53
投稿ありがとうございます。
PHPでできることは、ネットで検索してだいたい存じております。

今回の場合、パスワードを変えたいけどできなくて悩んでいるわけではなく、ユーザー名とパスワードのどちらか一方を定期的に変えたいと思った時、パスワードだと暗号化メソッドの呼び出しなど1アクション以上の簡易な手間が入ることと比べると、ユーザー名の変更なら1アクション以上簡易になるかなというそれくらいの考えで、ユーザー名の方を変更することを考えている次第です。

Posted by Ayacy at 2016/07/31 13:59:03
本日、時間が確保できたため試しているのですが、AuthNameに日本語(UTF-8)を使うと、手元のブラウザで文字化けすることに気づきまして、「人間への分かりやすい案内を出せるか」で早速困難にぶち当たっています。


目次 | ←前へ / 2016-07-27 01:43 / 次へ→ / 最新へ⇒


目次の表示:


ブログではないので、コメント機能とトラックバック機能は提供していません。ご質問・ご意見等はメールフィードバックまたはTwitter等からお願いします。いただいたご質問・ご意見などは、この「管理人のひとこと」の記事に追加、あるいは新規の記事にする形で一部または全文をそのまま、あるいは加工させていただいた上で、ご紹介させていただく場合があります。
当サイトでは掲載内容による不具合等に関する責任を持ちません。また、内容の正確性についての保証もありませんので、情報をご利用の際は、利用者の自己責任で確認をお願いします。本ページは公開から1年半後の任意のタイミングで削除される予定です。




2554472 (+0172)[+0573]

Copyright© 2010-2021 INASOFT