2016年07月27日

余計なことをしてくるbotへの対策 - BASIC認証なんかどうだろう。

昨日実名公表を行った今回の騒動なわけですが、対策として、ダウンロードのzipファイルに「毎日変化するBASIC認証」をかけてbot避けすることで検討しています。

zipファイルそのものへの暗号化も考えたのですが、アップロード済みの全ファイルに暗号化をする手間と、ダウンロード後にユーザーが戸惑う可能性、なにより、以前の連続誤検知の時のような、ファイルの中身を見ないで誤検知に倒れるケースには全く意味をなさないことから、zipファイルそのものの暗号化は見送りました。

とりあえず、BASIC認証のダイアログに表示されるメッセージにIDとパスワードを書いておき、ユーザーに入力してもらう仕掛けにすれば、ユーザーは戸惑うこともなく、体良くbot避けにできるんじゃないかな、と考えています。

まぁ、パスワードを可変にするのは骨が折れそうなので、ユーザー名を可変(毎日定刻に更新)し、パスワードはpasswordとかに固定にしようかな、と。
悪意ある人を避ける目的だとこの方法ではダメだけど、bot避けならこれで十分だろう。

特定のREFERや特定のUAを持っているbotに対してアクセス拒否の対応を取れるのであれば、それが一番影響範囲が少なく安全なのですが、残念ながらそのドイツ企業の詳細がわかっていませんし、そもそも余計なことをしてくるbotはドイツからしか来ないとは限りません。

不特定多数のbot、未来に登場するbotへも対応を行うとしたら、やっぱり、BASIC認証を挟むのが一番確実ではないかな、と考えています。


posted by ayacy at 01:43 | Comment(3) | TrackBack(0) | サーバ運用
この記事へのコメント
こんにちは、stmkzaです。
PHPを使えばBasic認証でPWを変えるのも簡単にできますよ。
参考になれば
Posted by stmkza at 2016年07月31日 09:36
投稿ありがとうございます。
PHPでできることは、ネットで検索してだいたい存じております。

今回の場合、パスワードを変えたいけどできなくて悩んでいるわけではなく、ユーザー名とパスワードのどちらか一方を定期的に変えたいと思った時、パスワードだと暗号化メソッドの呼び出しなど1アクション以上の簡易な手間が入ることと比べると、ユーザー名の変更なら1アクション以上簡易になるかなというそれくらいの考えで、ユーザー名の方を変更することを考えている次第です。
Posted by Ayacy at 2016年07月31日 11:06
本日、時間が確保できたため試しているのですが、AuthNameに日本語(UTF-8)を使うと、手元のブラウザで文字化けすることに気づきまして、「人間への分かりやすい案内を出せるか」で早速困難にぶち当たっています。
Posted by Ayacy at 2016年07月31日 13:59
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/176241446
※ブログオーナーが承認したトラックバックのみ表示されます。
※言及リンクのないトラックバックは受信されません。

この記事へのトラックバック