「basic認証+archives」でのセキュリテイを上げる
basic認証をかけているサイトにおいて
- 内容が外部に流出してしまう
ことは、当然避けたい事案です。
では、basic認証のかかったサイトのセキュリティをあげるためには、何を考えればいいのでしょうか。
サイトは3つのURLを経由する
- a-blog cmsにおいて、サイトは主に3つのURLを経由します。
- 例えば、datafarm.jp/member
というドメインがあった場合
- テキスト情報は「member」
- 画像はやファイルは「archives」
- メディアを利用した場合は「media-download」
という文字列を含んだurlを経由します。
- datafarm.jp/member
- datafarm.jp/archives
- datafarm.jp/member/media-download
それぞれに分けて、セキュリティ対策を考える必要があります。
basic認証のかかったブログについて
- datafarm.jp/member
にgooglebotがアクセスしようとした場合。
basic認証がかかっているのでアクセスすることはできません。
それに加えて「robots.txt」にクロールをしない様に設定する。
これにも十分に意味があります。
ただし将来的に「basic認証を解除した」場合。robots.txtから該当ディレクトリを除外しなければいけません。
お客様がrobots.txtをコントロールができない場合は、無理にrobots.txtで除外しなくても大丈夫かと思います。
archivesフォルダのファイルを、直接開かせない
- datafarm.jp/archives
archivesフォルダのトップは、直接開くことはできないようになっています。
そこに含まれているファイル一覧も、もちろん表示されません。
だたし、ファイルへのURLは「100%流出しない」とは限りません。
お客様がメールにURLを記載したことがきっかけで流出してしまう、という可能性もなくはありません。
万が一の流出にそなえ、情報へのアクセスを遮断できる用意を最初にしておくことが重要です。
.htaccessで直接参照を拒否する
こうすることで
- googleなどに万が一archivesへのリンクがクロールされた場合
でも、リンク先を開くことができなくなります。
クリックしてもエラーが返され、画像やpdfなどを直接閲覧することはできません。
ただし、サイト内を閲覧しクリックした場合には、問題なく表示することができます。
archives内に「.htaccess」を作成し、以下の様なコードを記載します。
太字のドメイン部分は、必要に応じて変更してください。
記載するコード
SetEnvIf Referer "^https://datafarm\.jp" ref_ok
Order Deny,Allow
Deny from all
Allow from env=ref_okarchives、media-downloadをクロールさせない
・archives
・media-download
については「そもそもクロールをさせない」に越したことはありません。
サイトにrobots.txtを設置し、該当するurlを含む場合にクロールをさせない準備をしておくことは重要です。
以下のテキストをサイトルートに設置することで、クロールを回避できます。
robots.txtに記載するコード
User-agent: *
Disallow: */media-download/*
Disallow: */archives/*不要なRSSを削除する
Google Search Consoleでサイトマップ登録をしていなくても、ページのソース内にRSSへのリンクがあると、googleはクロールを行います。
会員制サイトの場合は、更新通知をそもそも必要としないケースもあります。
・不要なRSSへのリンクは削除
・中身が空白のrss2.xmlを利用テーマに用意する
などの対策を必要に応じてしておきましょう。
万が一googleにクロールされていたら
Google Search Consoleから削除依頼を申請することで、対象URLを削除できます。
運用における注意点
サイトのセキュリティをあげることで安全性は上がります。
ただし、運用の方法によっては
・セキュリティをあげたことで、思わぬエラーが出る
こともあります。
その様な場合には、セキュリティの方法を運用にあわせて調整します。
HTMLメールでの注意点
ポイント
・HTMLメールは、画像ファイルをサーバから直接参照する
・archivesのファイルを直接開けない場合、表示に問題が発生
対策
・archives全体に制限をかけず、必要なブログフォルダ毎に制限をかけることで回避する
添付ファイル付きメールフォームでの注意点
ポイント
・メールフォームで添付ファイルを利用
この場合、フォームから送信する添付ファイルはarchivesフォルダに蓄積されます。
個人情報が含まれた添付ファイル(履歴書など)が添付される可能性もあるので、
・archivesフォルダを直接開けない様に、先だって対応しておく
ことを忘れずに行う必要があります。
フォームが設置されているブログで「画像」や「ファイル」ユニットを利用していない。
メディアしか利用していない場合に、思わぬ落とし穴になるかもしれません。
お困りごとをお聞かせください。
a-blog cmsについてのご相談、ご依頼など。
頂いた内容については、3営業日以内の返信を心がけております。
他社作成のa-blog cms修正、コーディング済htmlへのa-blog cms導入もOK。
小さなことから、お気になさらずお気軽にご相談ください。
その他のa-blog cms一覧
-
a-blog cms
a-blog cms Training Camp 2025参加報告 (と、個人的な感情の驚き)
今回音声が全体的に小さくなってしまっております。 申し訳ございません。聞きづらいのですが、そのままアップさせていただきました。先日開催された「a-blog cms Training Camp 2025」に参加し、想像以上に多く...
続きを読む
-
a-blog cms
a-blog cms Training Camp 2025の感想レポート
a-blog cms Training Camp 2025に参加いたしました。参加の際にメモしたことを、ブログにて公開いたします。 今回のイベントの概要はこちらから確認できますので、ご覧ください。https://ablogcms.doorkeeper.jp/...
続きを読む
-
FileMaker
FileMaker の自習室にて「ポータルを使って、便利なカンバン表示を作る(Claris FileMaker - 10分でスキルアップ)」が公開されました
動画内のサンプルがダウンロードできます。 ダウンロードはこちらから この動画のこぼれ話お客様の要望があって、そもそもは10年以上前から、この様なレイアウトはつくっていました。作るたびに発見や改善があっ...
続きを読む
-
FileMaker
Clarisカンファレンス2025参加レポート
FileMakerの“次の一歩”を感じた3日間Claris カンファレンス 2025 が無事に終了しました。私は 3 日間すべて参加し、製品の進化と実践的な事例から多くの刺激を受けました。 入場は紙チケットを印刷して持参する方...
続きを読む
-
FileMaker
FileMaker の自習室にて「マーメイド記法を使って、ガントチャートを表示する(Claris FileMaker - 10分でスキルアップ)」が公開されました
動画内のサンプルがダウンロードできます。 ダウンロードはこちらから この動画のこぼれ話ChatGPTが流行り出してしばらくして「マーメイド記法」という言葉を耳にすることがありました。調べてみると「ガントチャ...
続きを読む
-
FileMaker
自作英単語アプリへのセマンティック検索実装と学習サポート機能の拡充(FileMaker)
従来の単語アプリでは不足していた要素とFileMakerでの自作MikanやDuolingoなどの既存アプリは、元々テキストが決まっており、自分が覚えたい単語を自由に追加できないという課題がありました。私自身が使ってき...
続きを読む
