a-blog cmsのbasic認証とメディアの併用時に、より良いセキュリティにする

課題

a-blog cmsの

  • コンフィグで利用できるbasic認証機能
  • メディア機能

をミックスで使う場合に、以下のような状況が起こります。

具体例

a-blog cmsのコンフィグでbasic認証を設定したブログ
https://dagtafarm.net/member/session/

こちらは問題なくbasic認証がかかります。

ですが、そのブログでメディアを利用してpdfを登録した場合
https://dagtafarm.net/member/session/media-download/235/434a96945a837810/

こちらのアドレスはbasic認証がかからずに、そのまま表示されます。
basic認証をかける以上、外部からのコンテンツ(pdfなど)へのアクセスも併せて禁止したいところです。

解決方法

  • a-blog cmsのコンフィグにあるbasic認証を使わず、.htaccessを利用したbasic認証を利用する

こうすることで

どちらでもbasic認証がかかります。
特定のフォルダに認証をかけたい場合は、

  • rootフォルダに実際にbasic認証をかけたい空ディレクトリを作成
  • そのフォルダにhtaccessでパスワード設定

を行います。

注意点

a-blog cmsのコンフィグでbasic認証を設定した場合

  1. a-blog cmsにログインした状態であれば
  2. basic認証が必要な領域であっても、basic認証をCMS側でキャンセルしてくれます。

しかしhtaccessでbasic認証を設定した場合「a-blog cmsにログインした状態でも、basic認証は必要」となります。
すでに運用しているサイトで、basic認証の設定を変更する場合は、上記の動作について、事前に管理者に説明をし、了解をもらう必要があります。

付記

basic認証がかかっている領域は、そもそもクロールの対象にしたくありません。
pdfやWordファイルなどが格納される「media-download」自体をrobots.txtを利用して「検索の対象外にしておく」ことも意味があります。

その場合、以下の指定で対応可能です。

User-agent: * 
Disallow: */media-download/*



a-blog cms

a-blog cmsのお困りごと
お気軽にご相談ください

a-blog cmsのお困りごと
お気軽にご相談ください