http://user:password@example.com
にてログイン可能かと思いますが、アクセス解析を入れている場合は、このID/passは知られてしまうかと思いますが、知られないようにする方法はありませんでしょうか。
No.2
106
14
150pt
もしHTMLに埋め込まれたJavaScriptからURLの認証部が取得できてしまったら、そのブラウザの深刻な脆弱性ですよ。
経路にプロキシがあったりパケットキャプチャされたりしたら、平文ですからHTTP通信のヘッダーから読み取られてしまいますが、ユーザー情報は、そのホスト(HTMLの相手先)とのHTTP通信のなかでのみ交わされる内容であって、別ホストに置かれたJavaScriptファイルには無関係な話です。
No.1
1422226
150pt
サーバ側のアクセスログの話であればログに残るのはユーザ名のみでパスワードは記録されません。
また、GoogleAnalytics などブラウザ側でJSを使ってログ集計を行う系の仕組みでもやはりその認証情報は取れないようになっている筈ですので問題ないでしょう。
ただしそもそも、URLにBASIC認証を含めてアクセスさせるやり方自体が今時は非推奨ですのでブラウザによっては正常に利用できないこともあります(古いブラウザは大丈夫でも最新ではセキュリティ上の配慮から無効にされていることがあります)。
なので、URLとID/PASSは別途利用者に伝えて普通にBASIC認証ダイアログで入力してもらうのが良いと思います。その際ユーザがブラウザにID/PASSを保存させる運用でも問題無いでしょう。
No.2
10614
ここでベストアンサー
150pt
もしHTMLに埋め込まれたJavaScriptからURLの認証部が取得できてしまったら、そのブラウザの深刻な脆弱性ですよ。
経路にプロキシがあったりパケットキャプチャされたりしたら、平文ですからHTTP通信のヘッダーから読み取られてしまいますが、ユーザー情報は、そのホスト(HTMLの相手先)とのHTTP通信のなかでのみ交わされる内容であって、別ホストに置かれたJavaScriptファイルには無関係な話です。
deep_one
2016/08/02 11:21:47
4
2
1
2
2
124
90
a-kuma3
たまに自動ツールを使う方もいるサービスなので、URL形式でログインは出来るままが良いのですが、JSを使ったアクセス解析ではパスワードを知られてしまっていたのですが、ものによってはJSでも取得出来てしまうのでしょうか。
2016/08/02 14:01:38ヘッダを解析出来るJSなど・・・