「basic認証+archives」でのセキュリテイを上げる
basic認証をかけているサイトにおいて
- 内容が外部に流出してしまう
ことは、当然避けたい事案です。
では、basic認証のかかったサイトのセキュリティをあげるためには、何を考えればいいのでしょうか。
サイトは3つのURLを経由する
- a-blog cmsにおいて、サイトは主に3つのURLを経由します。
- 例えば、datafarm.jp/member
というドメインがあった場合
- テキスト情報は「member」
- 画像はやファイルは「archives」
- メディアを利用した場合は「media-download」
という文字列を含んだurlを経由します。
- datafarm.jp/member
- datafarm.jp/archives
- datafarm.jp/member/media-download
それぞれに分けて、セキュリティ対策を考える必要があります。
basic認証のかかったブログについて
- datafarm.jp/member
にgooglebotがアクセスしようとした場合。
basic認証がかかっているのでアクセスすることはできません。
それに加えて「robots.txt」にクロールをしない様に設定する。
これにも十分に意味があります。
ただし将来的に「basic認証を解除した」場合。robots.txtから該当ディレクトリを除外しなければいけません。
お客様がrobots.txtをコントロールができない場合は、無理にrobots.txtで除外しなくても大丈夫かと思います。
archivesフォルダのファイルを、直接開かせない
- datafarm.jp/archives
archivesフォルダのトップは、直接開くことはできないようになっています。
そこに含まれているファイル一覧も、もちろん表示されません。
だたし、ファイルへのURLは「100%流出しない」とは限りません。
お客様がメールにURLを記載したことがきっかけで流出してしまう、という可能性もなくはありません。
万が一の流出にそなえ、情報へのアクセスを遮断できる用意を最初にしておくことが重要です。
.htaccessで直接参照を拒否する
こうすることで
- googleなどに万が一archivesへのリンクがクロールされた場合
でも、リンク先を開くことができなくなります。
クリックしてもエラーが返され、画像やpdfなどを直接閲覧することはできません。
ただし、サイト内を閲覧しクリックした場合には、問題なく表示することができます。
archives内に「.htaccess」を作成し、以下の様なコードを記載します。
太字のドメイン部分は、必要に応じて変更してください。
記載するコード
SetEnvIf Referer "^https://datafarm\.jp" ref_ok
Order Deny,Allow
Deny from all
Allow from env=ref_okarchives、media-downloadをクロールさせない
・archives
・media-download
については「そもそもクロールをさせない」に越したことはありません。
サイトにrobots.txtを設置し、該当するurlを含む場合にクロールをさせない準備をしておくことは重要です。
以下のテキストをサイトルートに設置することで、クロールを回避できます。
robots.txtに記載するコード
User-agent: *
Disallow: */media-download/*
Disallow: */archives/*不要なRSSを削除する
Google Search Consoleでサイトマップ登録をしていなくても、ページのソース内にRSSへのリンクがあると、googleはクロールを行います。
会員制サイトの場合は、更新通知をそもそも必要としないケースもあります。
・不要なRSSへのリンクは削除
・中身が空白のrss2.xmlを利用テーマに用意する
などの対策を必要に応じてしておきましょう。
万が一googleにクロールされていたら
Google Search Consoleから削除依頼を申請することで、対象URLを削除できます。
運用における注意点
サイトのセキュリティをあげることで安全性は上がります。
ただし、運用の方法によっては
・セキュリティをあげたことで、思わぬエラーが出る
こともあります。
その様な場合には、セキュリティの方法を運用にあわせて調整します。
HTMLメールでの注意点
ポイント
・HTMLメールは、画像ファイルをサーバから直接参照する
・archivesのファイルを直接開けない場合、表示に問題が発生
対策
・archives全体に制限をかけず、必要なブログフォルダ毎に制限をかけることで回避する
添付ファイル付きメールフォームでの注意点
ポイント
・メールフォームで添付ファイルを利用
この場合、フォームから送信する添付ファイルはarchivesフォルダに蓄積されます。
個人情報が含まれた添付ファイル(履歴書など)が添付される可能性もあるので、
・archivesフォルダを直接開けない様に、先だって対応しておく
ことを忘れずに行う必要があります。
フォームが設置されているブログで「画像」や「ファイル」ユニットを利用していない。
メディアしか利用していない場合に、思わぬ落とし穴になるかもしれません。
お困りごとをお聞かせください。
a-blog cmsについてのご相談、ご依頼など。
頂いた内容については、3営業日以内の返信を心がけております。
他社作成のa-blog cms修正、コーディング済htmlへのa-blog cms導入もOK。
小さなことから、お気になさらずお気軽にご相談ください。
その他のa-blog cms一覧
-
FileMaker
FileMaker の自習室にて「カレンダーを併用した、入れ替えフリーな Todo リストを作る(Claris FileMaker - 10分でスキルアップ)」が公開されました
動画内のサンプルがダウンロードできます。 ダウンロードはこちらから この動画のこぼれ話自社で使っている、FileMakerで作ったプロジェクト管理システムの中で使っているものです。元々は、ドラッグすることは考...
続きを読む
-
FileMaker
FileMaker の自習室にて「Claris FileMaker で画像をトリミングしてダウンロードする(Claris FileMaker - 10分でスキルアップ)」が公開されました
動画内のサンプルがダウンロードできます。 ダウンロードはこちらから この動画のこぼれ話元々社内で、Webビューアにオブジェクトフィールドの画像を表示して、何かしらの生産物に使う、ということは行っておりま...
続きを読む
-
FileMaker
スライド
音声
【Claris FileMaker 初心者でも安心】シングルライセンス・Claris FileMaker Server・Claris FileMaker Cloudの違いとサブスクリプション・永続ライセンスの考え方
2025年7月14日執筆時点での内容となります はじめに:ライセンス、迷っていませんか?Claris FileMakerを導入しようとしたとき、「何から考えればいいのか分からない」と感じることがあるかもしれません。 シング...
続きを読む
-
スマレジ
スライド
音声
スマレジ導入で、毎日の会計のストレスを手放しませんか?
「最近、会計のたびにストレスを感じる」「レジ操作のミスが心配だ」「新人が入るたびに教えるのが大変だ」──そんな声を私たちは多くの現場で聞いてきました。 お店の会計は、毎日何十回、何百回と行われるもので...
続きを読む
-
FileMaker
スライド
音声
作業現場から考える「仕組み資産化」とは
近年、便利なクラウドツールやアプリが次々と登場し、現場の業務効率化に貢献しています。 しかし、「とりあえず使っている」「決められた通り動いている」だけでは、現場の知恵や工夫が仕組みに反映されず、ツー...
続きを読む
-
FileMaker
スライド
音声
ツール導入ではなく「仕組みの資産化」を目指す、システム導入を
最近、CMやネット広告で目にすることが多くなったサブスクリプション型の業務システム。確かに、初期コストを抑え、すぐに使い始められるという大きなメリットがあります。 ですが、その便利さの裏に、見落とされ...
続きを読む
