会員制コンテンツ配信のセキュリティについて

コンテンツ庵の志水です。

手短に。
会員制コンテンツを相談された場合、
費用を抑えてということであれば、
先ずXOOPSをお勧めしています。

であれば、個々にID,PWを持つ事も簡単ですし、
管理者側でコントロールしやすいです。


手短にでしたが、参考までに。

初めまして、マジック・プロジェクト　海岸です。

黒王様が言われているセキュリティというのは、会員以外はコンテンツを見られないようにしたいという意味でよろしいでしょうか?

私どもが会員限定向けコンテンツを行う場合は、プログラム経由でのコンテンツ表示させる方法を使うことがほとんどです。

確かにベーシック認証という方法もありますが、大量のIDとパスワードを発行するのに向いていません。

利用者数の把握や厳密性を求めないのであれば、運用上の手間はかかりますが、共用のIDとパスワードを毎月変更して会員に知らせるというアナログ的な運用方法もあります。
正直、運用、利用者ともに不便なのでお薦めしません。

プログラム経由でのコンテンツ表示方法を大まかに説明します。

まず、会員認証が成功したクライアントに対して「セッションID」 を発行します。そのセッションIDをクッキーに保存やURLに付加することにより、認証済みユーザとみなしてプログラムが会員ページの表示することを許可するという仕掛けです。

会員ページそのものは、データベースに保存したり、プログラム経由でしかアクセスできない場所に保存したりなどの方法がございます。

この仕掛けで一番注意が必要なのは、セッションIDを他人に盗まれる「セッション・ハイジャック」です。

セッションIDを盗まれると「なりすまし」により会員情報にアクセスされ、個人情報などが盗まれる危険があります。

「セッション・ハイジャック」などを含めたセキュリティ対策をちゃんとしてくれる開発会社に依頼することが重要です。

以上、参考になれば幸いです。

──────────────────────────────
ホームページ制作・システム開発のマジック・プロジェクト
海岸秀憲

一般的なショッピングサイトやメンバーシップ機能を持ったサイトで使われている認証の仕組みを導入されてはいかがでしょうか?
それとも、これらスタンダードな仕組みでは満たされない別の要素があるのかな?


こんにちは。
チームデルタの谷口です。


黒王さんの文面から、ユーザーID,パスワードの組み合わせによる認証の仕組みで満たされるような気がしています。
インターネット利用者が対象であれば、どのみちIPアドレスによる認証は不可能です。

認証システムの利用には、サイト構築形態(自前でサーバか、ホスティングか、とか、CMSやASPを利用するのか、独自開発するのか、とか)により、以下のような方法があると思います。


　　1.プロバイダの提供する認証機能を利用
　　2.CMSやサイト構築ASP(ショップサイトとか)の認証機能を利用
　　3.OSのフレームワークを利用して独自開発(Windowsであれば、ASP.NETを利用して記述)
　　4.オリジナルな仕組みを独自開発


認証には、

　　・ユーザーのアカウントを管理(発行、変更、削除など)する仕組み
　　・未認証ユーザーに認証を求める仕組み
　　・認証済みアカウントを検証する仕組み
　　・アカウント情報を暗号化する仕組み

などのモジュールが必要で、それら全部のコードを自分で記述するのは案外大変ですので、上記のような、何かしら用意された仕組み(1,2の利用が最も楽で、セキュリティーも確かです)を利用する方向でサイト構築の計画を進められることをお奨めします。


ご参考になれば幸いです。


成功するWeb戦略とホームページ制作のチームデルタ
谷口浩一