セキュリティと Apache：初級必読本 3

Web の任意制御メカニズムで保護された領域は、それが 1 つのドキュメントでもサーバー全体であっても、保 護領域 (realm) と呼ばれる。サーバーはクライアントの証明情報をチェックする際に保護領域の名前を提供する ので、クライアントはどの証明情報を送信すればよいかが分かる。

保護領域の名前は、Apache の設定ファイルで AuthName 指示子によって指定する。引数は 1 つ、 つまり保護領域の名前だけだ。

メモ： Apache の古いバージョンでは、「AuthName」キーワード に続く行末までの部分はすべて保護領域の名前として解釈されていたが、この方式だと文字列中に引用符 (") が埋め込 まれた場合に問題があった。実際の HTTP プロトコルでは保護領域が引用符で囲まれるからだ。そこで Apache の新し いバージョンでは、指示子が 1 つの引数のみを受け付けるようになった。"This is my realm" のように、複数の単 語を使う場合には、文字列全体を引用符記号で囲む必要がある。

保護領域の名前は、適用される URL と暗黙的に関連付けられ、その下位の URL も同じ保護領域の一部となる。た とえば <URL:http://foo.com/a/> が保護領域「Augh」に属する場合、 <URL:http://foo.com/a/b/c/foo.html> も保護領域「Augh」に属することになる。

暗黙的な関連付けによって、たとえば <URL:http://foo.com/a/foo.html> と <URL:http://foo.com/b/foo.html> が別々のステートメントで保護領域「Foo」にあると宣言され た場合、これらは同じ「Foo」という名前をもつが異なる保護領域に属することになる。2 つとも「Foo」とい う同じ保護領域に属するように設定できるのは、それらの URL の上位 (この場合 <URL:http://foo.com/>) が同じ場合だけだ。

このような規則により、保護領域内のはじめて訪れるドキュメントへのアクセスを要求する際には、クライアントは 常に認証用のプロンプトを表示する。名前が同じだが異なる保護領域を訪れた場合でも同様だ。

AuthName 指示子には、上位のディレクトリから継承される場合を除いて、デフォルト値がない。

クライアント/サーバー認証のハンドシェイク
なんらかの任意アクセス制御のもとで、クライアント ソ フトウェアから、あるドキュメントに初めてアクセスする際、エンドユーザーが知らない間に裏側で多くのやり取りが 行われている。最初のアクセス時には、クライアントは対象となるリソースが保護されていることを知らないので、そ の要求に証明情報は含まれていない。サーバーが要求を受け取ると、それはアクセス確認に関するすべての承認フェー ズを通り、証明情報 (この時点では存在しない) がリソースへのアクセスに有効な値と一致しないので、サーバーは「 not authorized」ステータスを返すことになる。

「not authorized」という応答を受け取ると、通常、クライアントは証明情報を送らなかったことに気づいて、エ ンドユーザーにその入力を促すポップアップ ダイアログを表示するだろう。このダイアログ ボックスには、ドキュメ ントが属している保護領域の名前が表示され、ユーザーにユーザー名とパスワードを要求する。これらの情報が入力さ れると、クライアントは再度同じ要求を行い、それには今回初めて証明情報が含まれる。ここまでで、サーバーへの要 求は 2 度行われたことになるが、エンドユーザーには最初に行われた要求はまったく見えないので、それが行われたか どうかも分からないだろう。

証明情報を含んだ 2 度目のアクセス要求に対して「not authorized」ステータスを受け取った場合、クライアント は最初の要求時とは異なった応答をする。おそらくクライアントはユーザーに「これらの証明情報は承認されませんで した。再度試みますか?」と通知するだろう。最初の要求時には証明情報を送らなかったので、このようには通知されな いはずだ。

エンドユーザーがダイアログに何も入力せずにキャンセル ボタンを押すと、クライアントは通常、「not authorized」ステータスと共にサーバーが送信したエラーページを表示して、指示待ちの状態に戻るだろう。

次は Apache のセキュリティ処理フェーズ >>

• レノボ、4日発売予定のネットブック「IdeaPad S10-2」の発売を延期（Webテクノロジー 7月4日 10:00）
  レノボ・ジャパン株式会社は2009年7月3日、ネットブック「IdeaPad S10-2（エステンダッシュツー）」の量販店での販売開始を延期することを発表した。
• 文書共有サイト「Hotdocs」リニューアルで、デジタル雑誌の“ちら見せ”プロモーション（E-コマース 7月3日 17:40）
  今回のサイトリニューアルで、会員システムを、従来通りの一般会員と、出版社など法人向けパートナー会員の2つに分け、一般投稿とは別に、法人が自社コンテンツを公式コンテンツとしてプロモーションできるようになった。パートナー会員第1号は富士山マガジンサービス。
• モルフォの「TrackSolid」など6つの技術が「SoftBank 935SH」に搭載（携帯・ワイヤレス 7月3日 17:30）
  株式会社モルフォは2009年7月3日、同社が開発した6つの技術が、同日発売されたソフトバンクの夏モデル「SoftBank 935SH」（シャープ製）に搭載されたことを発表した。
• ジー・モード、エヴァの携帯ゲーム「駆け抜けろ！！第三新東京市」を無料配信（携帯・ワイヤレス 7月3日 17:30）
  ジー・モードは2009年7月3日、同社の運営する携帯電話向け無料ゲームサイト「ゲームモラエール」にて、アニメ「新世紀エヴァンゲリオン」のゲーム「駆け抜けろ！！第三新東京市 キャンペーン版」の無料配信を開始した。
• 夏モデルを購入したいというユーザーは4割半ば―携帯買い替えニーズ定期リサーチ（47）（デイリーリサーチ 7月3日 17:00）
  インターネットコム株式会社と goo リサーチがレポートする「携帯電話買い替えニーズ定期リサーチ」の第47回。今回は、続々と発売されている夏モデルへの購入意向についても調査した。