パスワード保護ページへプロクシ経由でアクセス

taloo
(@taloo)

11年、 8ヶ月前

パスワードで保護されたページへプロクシ経由でアクセスした場合、
プロクシサーバー内へ静的HTMLとして保存され、自由に閲覧可能になっているのではないでしょうか。

HTTPヘッダを確認してみると、
/wp-login.php?action=postpass
へ、パスワードを送信したときはPragma: no-cacheなどが送出されていますが、
もとのページ（保護されているページ）にはキャッシュコントロールがついていませんでした。
そのため、保護されるべきページがプロクシに残るのではないかと思います。

Apacheのアクセスログを見てみると、数人のアクセスがあるべき保護ページに、1人分のアクセスしか確認できませんでした。
これは、２人目以降がサイトにアクセスする事無くコンテンツを読んでいるということだと推測できます。

使用バージョンは3.4.1、wp-touchプラグインを使用しています。
端末はiPhone（Mobile Safari）、キャリアは不明。
閲覧者が「インターネット見ました」と表現している事から、ネットワーク設定はデフォルトだと思われます。

4件の返信を表示中 - 1 - 4件目 (全4件中)

nobita
(@nobita)

11年、 7ヶ月前
こんにちは

バグの報告に対するコメントとして、どうかとは思いましたが、、、

私も、保護付のページは、no-cacheヘッダーがついていたほうがいいと思いました。

たぶん、talooさんのほうでは、既に何らかの対策済みとは思いますが、

パーマリンク、デフォルト限定で、　themes/functions.phpに以下のようなコードで暫定的な対策にならないかなと、私なりに、考えているのですが、
```
function password_post_header( $headers ) {
	if(is_numeric( $_GET['p'] ) ){
		$post = get_post($_GET['p']);
		if ( !is_admin() ) {
				if ( is_object($post) and !empty($post->post_password) ) {
					$headers = wp_get_nocache_headers();

					foreach($headers as $key => $val){
							header( "$key : $val" );
					}
				}
		}
	}
}
add_action( 'send_headers', 'password_post_header' );
```
よろしければ、アドバイスなどいただけるとうれしいです。
トピック投稿者 taloo
(@taloo)

11年、 7ヶ月前

実は何も対策していません。

index.php、archives.php、single.php、、、
保護付きページが含まれる内容が出力される可能性はたくさんあります。
そう考えると、一筋縄では行かないなぁ、と。。。

>パーマリンク、デフォルト限定で、
そのページだけでも付けておくと無いよりはマシなんですけどね(^^;

かといって全ページにキャッシュコントロールを付けるのも無駄が大きいですし。

nobita
(@nobita)

11年、 7ヶ月前

そうですね、リスト形式のページ全部ノーキャッシュというわけには行かないですね

私的には、リスト形式で表示する場合は、パスワード付なら、もうコンテンツは表示しない
シングルだけしか本文見せないよ。といった割りきりが必要かなと思っています

お返事ありがとうございました。

トピック投稿者 taloo
(@taloo)

11年、 7ヶ月前

なるほど確かに。
もともとパスワードを知ってる人しかアクセスできないわけですし、
パスワード総当たりなどで突破される可能性も、多少マシになりますし。

ありがとうございました。

4件の返信を表示中 - 1 - 4件目 (全4件中)

トピック「パスワード保護ページへプロクシ経由でアクセス」には新たに返信することはできません。

トピックタグ

表示