アクセス制限
| ■アクセス制限 |
| |
| 会員しか見れないページを作るため、ログイン画面を用意しても、不備があれば非会員でも閲覧できてしまいます。 |
| 訪問者はログイン画面から来るとは限りません。 |
| ここでは、URLの直入力が可能なケースをとりあげます。 |
| |
| |
| 1.ログイン画面から入る |
| |
| まずは普通にアクセスしてみます。 |
| ユーザー名とパスワードを入力して、「ログイン」ボタンを押します。 |
| |
 |
| |
| 2.会員のページへ |
| |
| 会員しか閲覧できないページへ来ました。 |
| 画面写真は簡略化されていますが、たくさんのリンク先があると思ってください。 |
| リンク先である「最新情報」へ飛んでみましょう。 |
| |
 |
| |
| 3.会員情報のページ(詳細)へ |
| |
| 会員しか閲覧できない情報がたくさん書いてあります(そう思ってください)。 |
| |
 |
| |
| 4.ソースはどうなっているのか |
| |
| ソースを見てみましょう。 |
| このサイトでは、ユーザー名:kaiin パスワード:abcd で会員ページへいけるようになっています。 |
| それ以外の値を入れられると、エラーが表示されるようになっています。 |
| |
 |
| |
| 5.入力情報が誤っていた場合 |
| |
| ユーザー名なり、パスワードなりが誤っていたときは、下のように表示されます。 |
| |
 |
| |
| 6.会員情報のURLを直入力する |
| |
| 会員用ページのURLが分かっているので、ログイン画面から直入力してみます。 |
| さて、どうなるでしょうか? |
| |
 |
| |
| 7.会員情報ページへ |
| |
| 入れてしまいました。 |
| 非会員であっても、会員ページの情報を閲覧できてしまいます。 |
| |
|
| |
| アクセス制限をかけるなら、すべての会員ページにかけるべきでした。 |
| 今回の事例では、ログオンページしか制限がかかっておらず、非常にまずい構造になっています。 |
| これでは制限のかけられていないサイトと変わりません。 |
| |
| 確かにURLを知らない限り、直入力できないので、入られることはありません(偶然というのはあります)。 |
| このようなケースで多いのは、一度会員として契約してサイトの構造を知った後、契約を解除してしまう方法です。 |
| ログイン画面しか制限がかけられていないのなら、会員ページを自由に閲覧できます。 |
| |
| |
| まとめ |
| |
| アクセス制限をかけたいのなら、ログインページだけかけても意味はありません。 |
| |
| 手軽にかけるなら、CGIを利用します。 |
| 便利なものとして、.htaccess があります。 |
| .htaccess でアクセス制限をかけると、.htaccess のある階層以下のすべてに対して制限がかかります。 |
| URLを知っているからといって、直入力で会員ページへ入ろうとすると、アクセス制限にかかってしまいます。 |
| 下の画面写真のように、.htaccessから入力を求められることになってしまうのです。 |
| |
 |
| |
| cgi を使わないときは、URLの直入力を防ぐため記述が必要になります。 |
| 会員ページを構成する各ページに、セッション変数を利用した記述を組み込んで、正当な入り方をしない訪問者を |
| ログイン画面へ案内してあげてください。 |
| |
| |
| |
| |
| |
| |
| |
|
|
| |
| |
| TOPへ戻る |
Copyright (C) starthp.com, All Rights Reserved.
|
