クライアントが大本。で、代理店が使用する営業ツールページを頼まれつくっているのですが、一般の人には見せたくないとの事。
で、ベーシック認証の提案をしたらIDとパスワード二つ入力するのはストレスだから、入力項目は1つで入れるようにと言われました。
セキュリティー的にもあまりよくないという話しをしたんですが、折れてくれず、どうしようか悩んでいます。
一つの入力項目でログインできるようにするにどうすればいいでしょう?できれば簡単に済むものが望ましいです。
簡単ログインとかソーシャルログインとかそういうので
それだと若干ログインへの敷居が高いですね。。ターゲットユーザーがGoogleFBのノアカウントもっているとは思えない人が多い。。
JSでモーダルでも出して入力させて、合致したら指定ページヘ飛ばしたらいいじゃん
それ行き先 秘匿できるの?
できないねぇ
セキュリティー的にもよくなくてもいいから関係ねぇよ
内部で判断してリダイレクトしてあげればいいだけの話な気がする。
内部で判断してリダイレクトとはどういう事ですか?各不特定多数の人が使うので、URLとか決め打ちで抑えることができないんですよね。。
IDとパス共通で組んじゃえばいいんじゃねそうじゃなきゃ「独自開発になりますんで別途御見積となります。」でも結局ブラウザでIDパス記憶させるんだろうけど。
そうなんすよね。なんだろ、解決するにはどうすればいいのかなって。
端末にクライアント証明書インストールして、パスワード1項目のみの認証かければ?それならアカウント発行時の設定に少し負担があるだけで済むよね。
クライアント証明書って各代理店先に対して一つ一つ作る感じですよね?そうするとコストがかかるので結局ぺら1でページ作ってそこからログイン→中のページへってした方がいいのかなとか考えてます。
そういうシステムを開発しますのでこれぐらいかかりますと見積を出す。その後の判断は相手に委ねる。
まー話しの持ってき方としてはそーなんですけど、実際どうやって解決しようと思うとどんな方法があるのかなーって。
つまり、単にトピ主本人がbasic認証以外のやり方知らないから教えて欲しいって事やろ?
ID&パスでいいと思うけど、IDは最初から自動表示させておいてパスだけ入力するようにしておけばいいんじゃない?あとでセキュリティが低いってなったらIDも入力形式に直せるし。
なるほどなるほど。ベーシック認証にあらかじめ数値もたせとく事ってできるんですかね?
セキュリティ的に無理するより、やらかした会社の事例でも出して、なんとか怖さを教えてあげたほうがいい気がする。.クライアントがいいっていうから…と言われたとおりに制作してても、問題が出た場合には制作側も罪に問われる。ついこの間そんな裁判の記事読んだんだけど、見つからねー
確かにそうっすね。間違い無いです。
最近ならこの記事かな---SQLインジェクション対策もれの責任を開発会社に問う判決 | 徳丸浩の日記 blog.tokumaru.org/2015/01/sql.html
ありがとう!それそれ
ありがとうございます。こんな事件も起きてるんですね。。
その件は地裁判決なので控訴すればどうなるか分からないかなと。あとセキュリティを重視するなら、そもそもbasic認証使うなと。せめてdigest認証にしとけと。
システムの管理上問題ないのなら別にID分けなくてもいいです。その代わりパスワードの要求文字数を倍にすれば良いだけです。
ですよねーベーシック認証の初期値はさすがに厳しいですよね。ペラでページ作ってそこからログイン→中へって流れがよいのかなとは思うんですけど、ダイレクトパスで画像とかにアクセスをできなくしたりとかって考えてくとまたお値段があがってしまいますものね。。
画像に関しては、単純にファイルを読み込んで出力するCGIを用意して、ファイルの実体をHTTPからは直で見れないフォルダに置いておくって方法もあります。まぁ、っていうかそれってアップローダーだよね。
そもそもなんだけど、厳密なセキュリティを求めてはいなくて営業マンが見せる対面営業用のパンフレットとか価格表とかにロックを掛けるってだけなら、パスワード設定できるアップローダーでも設置してあげれば客としてはOKって話だったりもする。
そですね。パスに関しては、共通のパスをみんなで使いまわす形になります。またこのツールが計算シミュレーションもあって、ページを見てからこそって感じなコンテンツでもあるんですよね。
ここまで誰一人として「アクセス制限」という意見を出してないのが・・。htaccessで出来るし、代理店なら固定IPアドレスぐらい用意してるだろ。仮に無くてもホスト制限するだけでも、パスワードのみよりマシ。
営業ツールなら外出時に利用することが考えられる。それこそタブレットとかでLTEとか先方の無線LAN利用して。その場合固定IPは使えない。
それならもうセキュリティなんてザルも同然じゃん
技術的な話題で盛り上がっているところ申し訳ないけど、「そもそも破られないセキュリティは存在しない」「セキュリティリスクの説明」「セキュリティレベルはクライアントが決定する」の3点が頭のなかになるのならば、「折れてくれず、どうしようか悩んでいます。」なんていう状態にはならないよ。折れてもらう必要はまったくなくて、決定に従うだけだろ。リスクはクライアントが負うのだから。
それでも何かあった時に開発側が責任取らさせる可能性があるっていうコメントを見よう。
ここまで誰も「ほい」とできる方法を提示してない、という事はやはり「そういうシステムを作る」しかないと思う。クライアントに、その費用とたかだかIDを入れる手間を天秤にかけさせればいい。自分がいかにアホな要求をしてるかを悟るだろう。
だからその天秤が無理なんだって
みんなの回答 12 件
簡単ログインとかソーシャルログインとかそういうので
JSでモーダルでも出して入力させて、合致したら指定ページヘ飛ばしたらいいじゃん
IDとパス共通で組んじゃえばいいんじゃね
そうじゃなきゃ
「独自開発になりますんで別途御見積となります。」
でも結局ブラウザでIDパス記憶させるんだろうけど。
端末にクライアント証明書インストールして、パスワード1項目のみの認証かければ?
それならアカウント発行時の設定に少し負担があるだけで済むよね。
そういうシステムを開発しますのでこれぐらいかかりますと見積を出す。その後の判断は相手に委ねる。
ID&パスでいいと思うけど、IDは最初から自動表示させておいてパスだけ入力するようにしておけばいいんじゃない?あとでセキュリティが低いってなったらIDも入力形式に直せるし。
セキュリティ的に無理するより、
やらかした会社の事例でも出して、なんとか怖さを教えてあげたほうがいい気がする。
.
クライアントがいいっていうから…と言われたとおりに制作してても、問題が出た場合には制作側も罪に問われる。
ついこの間そんな裁判の記事読んだんだけど、見つからねー
システムの管理上問題ないのなら別にID分けなくてもいいです。
その代わりパスワードの要求文字数を倍にすれば良いだけです。
どうせ社内システムなのですからIDなんていくらでもソーシャルからのアプローチで類推可能なのでセキュリティ的には飾りみたいなもんです。
どちらかというとシステム管理上一意キーが必要なのかどうかだけで考えてください。
あとは複数ユーザーでパスワードが被る場合だけどうするのかを考えてください。
(1)偶然であっても「被った」と表示すると「被られた」ユーザーの権限が他者に奪われる事になります。
→社内システムなのであれば各自変更はできないようにして管理者が一括管理するなど
(2)被り防止のために各自の名前をパスワードに入れる運用に行き着くと思われますが、それってIDを分けるのと何が違うの?という本末転倒。
それならIDだけCookieで覚えさせた方がログイン労力は減るような気がします。
サーバー側からbasic認証の初期値をコントロールする事は原則できないと思うのでログインフォームを作ってください。
そもそもなんだけど、厳密なセキュリティを求めてはいなくて営業マンが見せる対面営業用のパンフレットとか価格表とかにロックを掛けるってだけなら、
パスワード設定できるアップローダーでも設置してあげれば客としてはOKって話だったりもする。
ここまで誰一人として「アクセス制限」という意見を出してないのが・・。htaccessで出来るし、代理店なら固定IPアドレスぐらい用意してるだろ。仮に無くてもホスト制限するだけでも、パスワードのみよりマシ。
技術的な話題で盛り上がっているところ申し訳ないけど、「そもそも破られないセキュリティは存在しない」「セキュリティリスクの説明」「セキュリティレベルはクライアントが決定する」の3点が頭のなかになるのならば、「折れてくれず、どうしようか悩んでいます。」なんていう状態にはならないよ。折れてもらう必要はまったくなくて、決定に従うだけだろ。リスクはクライアントが負うのだから。
ここまで誰も「ほい」とできる方法を提示してない、という事はやはり「そういうシステムを作る」しかないと思う。クライアントに、その費用とたかだかIDを入れる手間を天秤にかけさせればいい。自分がいかにアホな要求をしてるかを悟るだろう。
関連するトピックス