セキュリティと Apache：初級必読本 3

Web の任意制御メカニズムで保護された領域は、それが 1 つのドキュメントでもサーバー全体であっても、保 護領域 (realm) と呼ばれる。サーバーはクライアントの証明情報をチェックする際に保護領域の名前を提供する ので、クライアントはどの証明情報を送信すればよいかが分かる。

保護領域の名前は、Apache の設定ファイルで AuthName 指示子によって指定する。引数は 1 つ、 つまり保護領域の名前だけだ。

メモ： Apache の古いバージョンでは、「AuthName」キーワード に続く行末までの部分はすべて保護領域の名前として解釈されていたが、この方式だと文字列中に引用符 (") が埋め込 まれた場合に問題があった。実際の HTTP プロトコルでは保護領域が引用符で囲まれるからだ。そこで Apache の新し いバージョンでは、指示子が 1 つの引数のみを受け付けるようになった。"This is my realm" のように、複数の単 語を使う場合には、文字列全体を引用符記号で囲む必要がある。

保護領域の名前は、適用される URL と暗黙的に関連付けられ、その下位の URL も同じ保護領域の一部となる。た とえば <URL:http://foo.com/a/> が保護領域「Augh」に属する場合、 <URL:http://foo.com/a/b/c/foo.html> も保護領域「Augh」に属することになる。

暗黙的な関連付けによって、たとえば <URL:http://foo.com/a/foo.html> と <URL:http://foo.com/b/foo.html> が別々のステートメントで保護領域「Foo」にあると宣言され た場合、これらは同じ「Foo」という名前をもつが異なる保護領域に属することになる。2 つとも「Foo」とい う同じ保護領域に属するように設定できるのは、それらの URL の上位 (この場合 <URL:http://foo.com/>) が同じ場合だけだ。

このような規則により、保護領域内のはじめて訪れるドキュメントへのアクセスを要求する際には、クライアントは 常に認証用のプロンプトを表示する。名前が同じだが異なる保護領域を訪れた場合でも同様だ。

AuthName 指示子には、上位のディレクトリから継承される場合を除いて、デフォルト値がない。

クライアント/サーバー認証のハンドシェイク
なんらかの任意アクセス制御のもとで、クライアント ソ フトウェアから、あるドキュメントに初めてアクセスする際、エンドユーザーが知らない間に裏側で多くのやり取りが 行われている。最初のアクセス時には、クライアントは対象となるリソースが保護されていることを知らないので、そ の要求に証明情報は含まれていない。サーバーが要求を受け取ると、それはアクセス確認に関するすべての承認フェー ズを通り、証明情報 (この時点では存在しない) がリソースへのアクセスに有効な値と一致しないので、サーバーは「 not authorized」ステータスを返すことになる。

「not authorized」という応答を受け取ると、通常、クライアントは証明情報を送らなかったことに気づいて、エ ンドユーザーにその入力を促すポップアップ ダイアログを表示するだろう。このダイアログ ボックスには、ドキュメ ントが属している保護領域の名前が表示され、ユーザーにユーザー名とパスワードを要求する。これらの情報が入力さ れると、クライアントは再度同じ要求を行い、それには今回初めて証明情報が含まれる。ここまでで、サーバーへの要 求は 2 度行われたことになるが、エンドユーザーには最初に行われた要求はまったく見えないので、それが行われたか どうかも分からないだろう。

証明情報を含んだ 2 度目のアクセス要求に対して「not authorized」ステータスを受け取った場合、クライアント は最初の要求時とは異なった応答をする。おそらくクライアントはユーザーに「これらの証明情報は承認されませんで した。再度試みますか?」と通知するだろう。最初の要求時には証明情報を送らなかったので、このようには通知されな いはずだ。

エンドユーザーがダイアログに何も入力せずにキャンセル ボタンを押すと、クライアントは通常、「not authorized」ステータスと共にサーバーが送信したエラーページを表示して、指示待ちの状態に戻るだろう。

次は Apache のセキュリティ処理フェーズ >>

• 【ミミズクの目】ジャズ界初の動画コンテストが YouTube で開催（Webビジネス 11月22日 12:10）
  YouTube でジャズ動画コンテスト「Diners Club Presents - Jazz Session on YouTube」が開催。
• 【今週の Web ミミズク】Chrome OS は SSD に乗って（Webテクノロジー 11月21日 12:00）
  今週のテーマは“半導体ドライブ”、いわゆる“SSD”だ。“シリコンディスク”とか半導体ディスク、擬似ディスクと呼ばれたりするようだが、最近 SSD 関連のニュースをよく見かけるようになった。
• Adobe が『Acrobat.com』を一新、モバイル用アプリも登場（Webビジネス 11月21日 11:10）
  Adobe Systems はオンライン アプリケーション サービス『Acrobat.com』を一新する。35の新機能を追加するほか、レイアウトデザインが改良され、初のモバイル用アプリケーションも登場する。
• Infoseek 検索キーワードランキング (2009/11/10〜11/16)（Webマーケティング 11月20日 19:10）
  今週の時事は、予算概算要求の無駄を洗い出す“事業仕分け”が開始した「行政刷新会議」が今週の1位。
• レコチョク週間ランキング（2009年11月11日〜11月17日）（Webマーケティング 11月20日 18:40）
  レコチョク週間ランキング（2009年11月11日〜11月17日）。レコチョク集計による「着うた」、「着うたフル」、「着ムービー」を掲載します。