a-blog cmsのbasic認証とメディアの併用時に、より良いセキュリティにする
課題
a-blog cmsの
- コンフィグで利用できるbasic認証機能
- メディア機能
をミックスで使う場合に、以下のような状況が起こります。
具体例
a-blog cmsのコンフィグでbasic認証を設定したブログ
https://dagtafarm.net/member/session/
こちらは問題なくbasic認証がかかります。
ですが、そのブログでメディアを利用してpdfを登録した場合
https://dagtafarm.net/member/session/media-download/235/434a96945a837810/
こちらのアドレスはbasic認証がかからずに、そのまま表示されます。
basic認証をかける以上、外部からのコンテンツ(pdfなど)へのアクセスも併せて禁止したいところです。
解決方法
- a-blog cmsのコンフィグにあるbasic認証を使わず、.htaccessを利用したbasic認証を利用する
こうすることで
- https://dagtafarm.net/member/session/
- https://dagtafarm.net/member/session/media-download/235/434a96945a837810/
どちらでもbasic認証がかかります。
特定のフォルダに認証をかけたい場合は、
- rootフォルダに実際にbasic認証をかけたい空ディレクトリを作成し
- そのフォルダにhtaccessでパスワード設定
を行います。
注意点
a-blog cmsのコンフィグでbasic認証を設定した場合
- a-blog cmsにログインした状態であれば
- basic認証が必要な領域であっても、basic認証をCMS側でキャンセルしてくれます。
しかしhtaccessでbasic認証を設定した場合「a-blog cmsにログインした状態でも、basic認証は必要」となります。
すでに運用しているサイトで、basic認証の設定を変更する場合は、上記の動作について、事前に管理者に説明をし、了解をもらう必要があります。
付記
basic認証がかかっている領域は、そもそもクロールの対象にしたくありません。
pdfやWordファイルなどが格納される「media-download」自体をrobots.txtを利用して「検索の対象外にしておく」ことも意味があります。
その場合、以下の指定で対応可能です。
User-agent: *
Disallow: */media-download/*お困りごとをお聞かせください。
a-blog cmsについてのご相談、ご依頼など。
頂いた内容については、3営業日以内の返信を心がけております。
他社作成のa-blog cms修正、コーディング済htmlへのa-blog cms導入もOK。
小さなことから、お気になさらずお気軽にご相談ください。
