アカウント名:
パスワード:
非公開URLもPWも知らなきゃ入れないんだから同じだろという理屈はわかるがなんかもにょるな。
総当たり攻撃の容易さが違う。
そんなものURLの長さ次第じゃね。試行の繰り返しを検出してブロックしてもいいし、普通の総当たり攻撃と変わらんだろ。
>試行の繰り返しを検出してブロックしてもいいし
普通のユーザアクセスとどうやって区別すんの?1回ページ表示するだけで、ページ内コンテンツの数だけアクセス回数が発生すると思うけど。「1分以内に100回アクセスがあったら」とかいう条件にするの?なら1IPアドレスで100回までは簡単に試せるね。
パスワード認証だったら、同一アカウントで3回パスワード間違えたら1分ロックってするだけで済むけど。
そこはパスワードでの認証でも同じじゃない?
仮に、/internal/で始まるパスは非公開情報があるとして、「/internal/配下へのアクセスに対して1分以内に100回アクセスがあったら」みたいな条件にする。あるいは「/internal/配下のアクセスに対しての要パスワード(Basic認証でもフォームログインでも)」にする。いずれでもそれ以外(/index.htmlなど)は制限なくアクセス可能にする。
DOS攻撃し放題ですね
仮定の話なんだから、いろいろ雑なのは許してくださいよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
非公開URLによるアクセス制御 (スコア:0)
非公開URLもPWも知らなきゃ入れないんだから同じだろという理屈はわかるがなんかもにょるな。
Re: (スコア:0)
総当たり攻撃の容易さが違う。
Re: (スコア:0)
そんなものURLの長さ次第じゃね。試行の繰り返しを検出してブロックしてもいいし、普通の総当たり攻撃と変わらんだろ。
Re: (スコア:0)
>試行の繰り返しを検出してブロックしてもいいし
普通のユーザアクセスとどうやって区別すんの?
1回ページ表示するだけで、ページ内コンテンツの数だけアクセス回数が発生すると思うけど。
「1分以内に100回アクセスがあったら」とかいう条件にするの?
なら1IPアドレスで100回までは簡単に試せるね。
パスワード認証だったら、同一アカウントで3回パスワード間違えたら1分ロックってするだけで済むけど。
Re: (スコア:0)
そこはパスワードでの認証でも同じじゃない?
仮に、/internal/で始まるパスは非公開情報があるとして、「/internal/配下へのアクセスに対して1分以内に100回アクセスがあったら」みたいな条件にする。あるいは「/internal/配下のアクセスに対しての要パスワード(Basic認証でもフォームログインでも)」にする。いずれでもそれ以外(/index.htmlなど)は制限なくアクセス可能にする。
Re: (スコア:0)
DOS攻撃し放題ですね
Re: Re:非公開URLによるアクセス制御 (スコア:0)
仮定の話なんだから、いろいろ雑なのは許してくださいよ。