2016年07月27日

余計なことをしてくるbotへの対策 - BASIC認証なんかどうだろう。

昨日実名公表を行った今回の騒動なわけですが、対策として、ダウンロードのzipファイルに「毎日変化するBASIC認証」をかけてbot避けすることで検討しています。

zipファイルそのものへの暗号化も考えたのですが、アップロード済みの全ファイルに暗号化をする手間と、ダウンロード後にユーザーが戸惑う可能性、なにより、以前の連続誤検知の時のような、ファイルの中身を見ないで誤検知に倒れるケースには全く意味をなさないことから、zipファイルそのものの暗号化は見送りました。

とりあえず、BASIC認証のダイアログに表示されるメッセージにIDとパスワードを書いておき、ユーザーに入力してもらう仕掛けにすれば、ユーザーは戸惑うこともなく、体良くbot避けにできるんじゃないかな、と考えています。

まぁ、パスワードを可変にするのは骨が折れそうなので、ユーザー名を可変(毎日定刻に更新)し、パスワードはpasswordとかに固定にしようかな、と。
悪意ある人を避ける目的だとこの方法ではダメだけど、bot避けならこれで十分だろう。

特定のREFERや特定のUAを持っているbotに対してアクセス拒否の対応を取れるのであれば、それが一番影響範囲が少なく安全なのですが、残念ながらそのドイツ企業の詳細がわかっていませんし、そもそも余計なことをしてくるbotはドイツからしか来ないとは限りません。

不特定多数のbot、未来に登場するbotへも対応を行うとしたら、やっぱり、BASIC認証を挟むのが一番確実ではないかな、と考えています。


posted by ayacy at 01:43 | Comment(3) | TrackBack(0) | サーバ運用