気の向くままに辿るIT/ICT
webzoit.netウェブサイトホームページ
ショップ構築

現在リクエストしているユーザーを特定する

ウェブ造ホーム前へ次へ
サイト内検索
カスタム検索
現在リクエストしているユーザーを特定するには?

現在リクエストしているユーザーを特定する

ネットショップにおけるセキュリティ対策

 不特定多数の方に開放したホームページ上で販売を行うネットショップ・オンラインショップにおける電子商取引では、ユーザーの入力情報を保護する事が必須であり、更に外部からの攻撃に備え十二分な対策を講じる必要があります。

<< ログインIDとパスワードの管理を怠ると他のセキュリティが水の泡

事前準備としてのセキュリティ確保対策はここまで

 ここまでが「カートCGIが動作する前段階として必須のセキュリティ対策」です。

 次は「カートCGIが動作する以後の」セキュリティ対策です。

現在リクエストしているユーザーを特定する

 セキュリティ確保は、善意のアクセス者のちょっとした入力ミスなどによりカートCGIが誤動作したり、まして悪意のあるアクセスによって脆弱性を突かれる事を排除していく作業ですから、善意、善意+うっかりミス、悪意の各アクセスと状況を判別しなくては正しい処理も排除もできません。

 こうした背景からこれらを判別する事が必要です。

 カートCGIを利用している現在のユーザーを特定する方法の1つはcookieにセッションIDなどを付加する事でしょう。

 逆の言い方をするとサイトにアクセスしている不特定多数のユーザーの他の誰かでもなく、不正アクセスしている攻撃者でもなく、善意の一連の操作をしているユーザーというレベルで特定のユーザーを識別する目的の為にcookieを利用します。

 次の章では「ある特定のユーザーが行う一連の操作」を特定する為のセッション管理に関連してcookieについて見ていきましょう。

>> cookie/クッキーとは

ショッピングカートCGIに求められる最低限の品質

 ショッピングカートに必要な品質確保する為の大前提の対策。

ショッピングカートCGIとその他のセキュリティ確保

 セキュリティを考える上でショッピングカートCGIの対策を講じただけでは不足です。

 ショッピングカートCGIで利用する複数のファイルと公開するウェブサーバ上のセキュリティ設定とディレクトリ保護、ウェブサーバへのアップロード、ターミナルエミュレータ利用におけるセキュアな接続なども必要です。

 また、ログインID、パスワードはセキュアなウェブサーバ、セキュアなFTPソフト、セキュアなターミナルエミュレータにおいても徹底管理が必須です。

cookieのセキュリティ設定

 ネット上でショッピング機能を利用する場合、「一連の操作をしているユーザー」を特定する為にはcookie/クッキーの設定が不可欠です。

セキュリティの必要性と限界

 ここまでのセキュリティは最低限必要であり、cookieの実装によりショッピングカートを一応組み込む事はできますが、残念ながら完全にセキュリティが確保されるわけではありません。

 また、善意のアクセスの拒否か、またはセキュリティ確保の二者択一を迫られるケースもあります。

ウェブ造ホーム前へ次へ