EZORISブログ
他の人から見えないホームページの作り方
ページを隠す
ホームページはネット上に広く情報を公開するためのものです。
でも、色々と使っていると「一部の人だけに見せる」ホームページということも要望として出てきます。たとえば、友人同士だけでやりとりするための掲示板や会員の方だけに提供するコンテンツなどです。このためには、ほかの人から見えないようになんらかの手段で「ページを隠す」必要があります。
このための仕組みとして、ベーシック認証やIPアドレス制限などもありますが、一般的にはログインという仕組みが使われます。
これを読んでいただいている方も、一度や二度はログインを利用するWEBサイトにアクセスしたことがあると思います。自分のIDとパスワードを入力して「ログインする」わけです。
でも、色々と使っていると「一部の人だけに見せる」ホームページということも要望として出てきます。たとえば、友人同士だけでやりとりするための掲示板や会員の方だけに提供するコンテンツなどです。このためには、ほかの人から見えないようになんらかの手段で「ページを隠す」必要があります。
このための仕組みとして、ベーシック認証やIPアドレス制限などもありますが、一般的にはログインという仕組みが使われます。
これを読んでいただいている方も、一度や二度はログインを利用するWEBサイトにアクセスしたことがあると思います。自分のIDとパスワードを入力して「ログインする」わけです。
ログインのメリット
ログインすると、システムはサイトにアクセスしている人が誰であるかがわかるようになります。
そうすると、以下のようなことができるようになります。
・画面に「○○さん、こんにちは」のように名前を表示する
・以前にその人がアクセスしたページや購入した商品を一覧で表示する
・その人が興味のありそうな情報を、画面の隅に「こんな情報がありますよ」的に表示する
・その人しかアクセスできないページを見せたり、その人がアクセスできないページを隠す
上記以外にもたくさんあります。
システムから見ると、一般の人と対応する場合より、ログインした相手と対応する場合には「できること」がはるかに多くなるのです。
そうすると、以下のようなことができるようになります。
・画面に「○○さん、こんにちは」のように名前を表示する
・以前にその人がアクセスしたページや購入した商品を一覧で表示する
・その人が興味のありそうな情報を、画面の隅に「こんな情報がありますよ」的に表示する
・その人しかアクセスできないページを見せたり、その人がアクセスできないページを隠す
上記以外にもたくさんあります。
システムから見ると、一般の人と対応する場合より、ログインした相手と対応する場合には「できること」がはるかに多くなるのです。
パスワードを定期的に変更する理由
ログインするときに使用するパスワード。
ほとんどのサイトには、パスワード変更機能が付いています。パスワードを定期的に変更しましょう、という注意書きまで書いてあります。
なぜでしょうか?
ログインでは、IDとパスワードの組み合わせで個人を特定します。
現在では、IDにその人のメールアドレスが使われることが多いです。また、IDは入力するときに画面に表示されます(後ろで見ている人から丸見えです)。
ということは、IDはあまり秘密にできないということです。
このため、パスワードの方をしっかり管理しましょう、ということになるわけですが、IDがわかっているのであればパスワードを破ることはそれほど難しくありません。
考えられるパスワードを片っ端から試してみて、運よくログインできた時点で「パスワード破り成功」となります。
もちろん、人が勘を頼りに手作業で行なうわけではありません。
パスワード破り用のプログラムを使って、24時間延々とトライするわけです。
こういった「単純作業を高速に繰り返す」ことはコンピュータは大得意です。いまでは、パスワードは「時間をかければ破れる」ことは常識になっています。このため、定期的に変更しましょう、という注意書きが書かれているわけです。
ほとんどのサイトには、パスワード変更機能が付いています。パスワードを定期的に変更しましょう、という注意書きまで書いてあります。
なぜでしょうか?
ログインでは、IDとパスワードの組み合わせで個人を特定します。
現在では、IDにその人のメールアドレスが使われることが多いです。また、IDは入力するときに画面に表示されます(後ろで見ている人から丸見えです)。
ということは、IDはあまり秘密にできないということです。
このため、パスワードの方をしっかり管理しましょう、ということになるわけですが、IDがわかっているのであればパスワードを破ることはそれほど難しくありません。
考えられるパスワードを片っ端から試してみて、運よくログインできた時点で「パスワード破り成功」となります。
もちろん、人が勘を頼りに手作業で行なうわけではありません。
パスワード破り用のプログラムを使って、24時間延々とトライするわけです。
こういった「単純作業を高速に繰り返す」ことはコンピュータは大得意です。いまでは、パスワードは「時間をかければ破れる」ことは常識になっています。このため、定期的に変更しましょう、という注意書きが書かれているわけです。
ページの作り方
IDとパスワードで認証するには、あらかじめその人のIDとパスワードを登録しておく必要があります。
管理者の方がIDとパスワードを登録してから、その人に通知するという方法もありますが、ネット上で不特定多数の人にサービスを提供しているサイトであれば、登録する人がメールを使って自分で登録します。
アクティベーションなどと呼んだりしますが、一般的には以下のような流れで登録します。
1.メールアドレスを入力する
2.入力したメールアドレスに確認用のメールアドレスが送られてくる
3.メールを開いて、本文に記載されているURLをクリックする
4.利用者情報の入力画面が表示されるので、必要な項目を入力して[登録]ボタンを押す
一度メールを送るのは、そのメールアドレスが正しいことと、登録する人が確かに実在すること、を確認するためです。
管理者の方がIDとパスワードを登録してから、その人に通知するという方法もありますが、ネット上で不特定多数の人にサービスを提供しているサイトであれば、登録する人がメールを使って自分で登録します。
アクティベーションなどと呼んだりしますが、一般的には以下のような流れで登録します。
1.メールアドレスを入力する
2.入力したメールアドレスに確認用のメールアドレスが送られてくる
3.メールを開いて、本文に記載されているURLをクリックする
4.利用者情報の入力画面が表示されるので、必要な項目を入力して[登録]ボタンを押す
一度メールを送るのは、そのメールアドレスが正しいことと、登録する人が確かに実在すること、を確認するためです。
認証時のチェック
ログインでは、IDとパスワードが入力されるとそのIDの人が登録されているかをチェックします。存在していればOK、いなければエラーで再度入力画面を表示する、という流れです。
エラーがあった場合には、少し待ってからエラーを出力した画面を表示します。
前述した「パスワード破り」の場合にはパスワードを変えて何度もトライしてきますから、返すとすぐに次のアクセスが来ます。
少し待ってから返すことで時間を稼ぎ、パスワードを破られにくくすることができます。
エラーがあった場合には、少し待ってからエラーを出力した画面を表示します。
前述した「パスワード破り」の場合にはパスワードを変えて何度もトライしてきますから、返すとすぐに次のアクセスが来ます。
少し待ってから返すことで時間を稼ぎ、パスワードを破られにくくすることができます。
Cookie(クッキー)のセット
ログインしたら、アクセス元のPCにCookieをセットします。Cookieは「正しく認証できた」ことの証です。
この後のアクセスでは、このCookieがPCから渡ってくるので、この内容をチェックしてページの表示などを行います。
ただし、必要な情報をCookieの中にセットしてはいけません。
Cookieにはランダムに発行した番号などをセットしておき、この番号に紐づけてサーバ側のファイルやDBの中に情報(セッション情報)を格納しておきます。
また、Cookieには有効時間(発行から一時間、など)を設定して、PC内に残ったCookieが他の人に悪用されないようにしておくことが必要です。
この後のアクセスでは、このCookieがPCから渡ってくるので、この内容をチェックしてページの表示などを行います。
ただし、必要な情報をCookieの中にセットしてはいけません。
Cookieにはランダムに発行した番号などをセットしておき、この番号に紐づけてサーバ側のファイルやDBの中に情報(セッション情報)を格納しておきます。
また、Cookieには有効時間(発行から一時間、など)を設定して、PC内に残ったCookieが他の人に悪用されないようにしておくことが必要です。
ログアウト
ログアウトでは、サーバー側のセッション情報を削除します。
Cookieは有効時間を設定しておけばそのうち消えます。
仮にCookieが残っていても、サーバー側のセッション情報がなければ「ログインしていない状態」とみなして処理を進めることで不正なアクセスをシャットアウトします。
他の人から見えないホームページは以上のような方法で作られています。仕組み自体はそれほど難しくありませんが、そもそも公開するための仕組みであるインターネット上で「隠す」わけですから、漏れがないようにしなければなりません。設計作業と検証作業が重要になってきます。
Cookieは有効時間を設定しておけばそのうち消えます。
仮にCookieが残っていても、サーバー側のセッション情報がなければ「ログインしていない状態」とみなして処理を進めることで不正なアクセスをシャットアウトします。
他の人から見えないホームページは以上のような方法で作られています。仕組み自体はそれほど難しくありませんが、そもそも公開するための仕組みであるインターネット上で「隠す」わけですから、漏れがないようにしなければなりません。設計作業と検証作業が重要になってきます。
[EZORISの広告]
EZORISでは、会員や社員、グループなど、限られた方々だけでページの内容を共有するサービスをご提供しています。ログインした方だけが、参照したり、書き込んだりできるページです。
会社内やプロジェクトグループ内での情報共有、お取引先との連絡、会員の方向けの情報発信などにお使いいただけます。
