Conversation

Notices

1. Embed this notice
   アホのなすーん (gizenchan@best-friends.chat)'s status on Monday, 23-Oct-2023 00:50:46 JST アホのなすーん

   AWS、『仮想のコンピュータを提供するから、何に使うかは自由だけど、全部自分でやってね』感凄いな。良く流行ったなこれ。これを使いこなすあらゆる人が居たんですねえ

   • Embed this notice
     アホのなすーん (gizenchan@best-friends.chat)'s status on Monday, 23-Oct-2023 00:50:42 JST アホのなすーん

     in reply to

     • みちゃ

     @kitsune なるほどなるほど、公開したくねーけどもう公開してるんだよね、じゃあいっちょうBasicかあ、みたいな感じなのかなあ。頭がいいというか、そうか、それなら確かにID/passひとつだし、攻撃しようがないというか、運用前だしそんなことしても意味がないし、そんでもって安全に相手に見せられる。

     うーーん。みちゃさん、その、、大分上級者ですね。すごいや。なんか自分が恥ずかしいっていうか。。良く色々触ってきたなあという実感

   • Embed this notice
     みちゃ (kitsune@heislandmine.work)'s status on Monday, 23-Oct-2023 00:50:42 JST みちゃ

     in reply to

     @gizenchan まあだいたいそういう感じかなあー まあ実際のところそういう公開前サイトにアクセスが来るの？っていうともちろん基本的に来ないんだけど、でもクライアントのお偉いさんが「これが見られたらどうするんだ！！」ってなったりすることもあるし、営業さんもちょっとそういうのあると共有するときに安心だよね、みたいな理由でついてることも多数あります（（

     まあある程度上級者かもしれない？？2005年ぐらいから古いパソコンでサーバとか立てて遊んでるので……ので……

     サーシャちゃん　174cm repeated this.
   • Embed this notice
     アホのなすーん (gizenchan@best-friends.chat)'s status on Monday, 23-Oct-2023 00:50:42 JST アホのなすーん

     in reply to

     • みちゃ

     @kitsune なるほどなるほど。かなりうーーん、個人史として相当に長いですね。18年くらい前かあ。もう自分小学生ですね。なんかみんなで怖いフラッシュとか見まくってパソコンを破壊してました。何だったんだあの体験は。

     しかし、そしたらみちゃさん自身、色んな入れ替わり立ち替わりのインターネット史を、相当に鋭敏に感じながら日々を過ごせたのだと思います。いいなあ。なかなかこう、人手不足ですから、私程度でも戦力になってしまう時代。。こういう『ちゃんと引っ張っていける』古参につきたかった…うむむ

   • Embed this notice
     みちゃ (kitsune@heislandmine.work)'s status on Monday, 23-Oct-2023 00:50:43 JST みちゃ

     in reply to

     @gizenchan
     まず簡単な回答として
     ・用途はある、難易度は状況次第だが大抵の場合BASIC認証のほうが簡易
     ・BASIC認証におけるBASE64はサーバ側でID/PWを保持する時に使う。HTMLとjavascriptはBASIC認証に関係なく、極端な話JPEGとかが落ちてくるだけの場合でもBASIC認証はかけられる。またBASE64とBASIC認証は技術的に関係がない。

     OAuthを入れるとちょっと話がゴチャるので、一般的なWebアプリケーション上のID/PW認証とBASIC認証の比較をしますね

     ◆ID/PW認証
     認証は通常サーバサイド上のプログラムが行う、極端な話IDだけとか、ID/PWに追加の認証ができる
     入力されたID/PWはネットワーク上を流れる、ネットワークが暗号化されてない場合は経路上で盗める
     ID/PWはたいていの場合サーバサイド上のプログラムから切り離されたDB上にあり、まともな実装であればPWは片方向ハッシュ化(元に戻せない形に変換)されている
     ブラウザやプロトコルの機能ではなくWebの上で実装したプログラムの機能

   • Embed this notice
     アホのなすーん (gizenchan@best-friends.chat)'s status on Monday, 23-Oct-2023 00:50:43 JST アホのなすーん

     in reply to

     • みちゃ

     @kitsune なるほどなるほど。だいぶ私知識が偏ってて勘違いしてましたね。なんだか、スタートアッパーの質問にも答えてくださり、ありがとうございます…

     ・『ネットワークが暗号化されていない場合は盗める』…なら、HTTPSで大抵が動いてる今の状態なら大体オッケーみたいな気持ちになれます

     ・今調べましたが、『ログアウトが無いために再度認証ができない』『セッションIDだかなんだかを発効しないからとりあえず破棄すりゃいいかができない』ということが書いてありました。(丸覚え)。

     ・でもなんかこう、確かに、クソデカ通販サイトの入口とかで無い限り、なんかこう、使えるっていうか手軽なきがします。

     なんだか認証について、何もわかってなかったというか、『ITの海は広いんだぞ』って感じがします。あんまり職場でここまで詳しい人が居なくて…助かります！

   • Embed this notice
     みちゃ (kitsune@heislandmine.work)'s status on Monday, 23-Oct-2023 00:50:43 JST みちゃ

     in reply to

     @gizenchan そうねー まともな認証基盤とか作る必要もない時にはいいんだけど、まともなサーバ管理者がいないと当然データが漏れる諸刃の剣、素人にはオススメできない、みたいな感じかなあ

     > 今調べましたが〜
     あー、たしかにそういうのはあるかも……ので今となってはWebページの最終確認をクライアントにもらうために確認用サーバに /nasuun-web/20231022/rc1/ みたいなパス切ってその配下のページにBASIC認証かけて、確認してもらうなり案件終わるなりしたら消す、みたいな運用が多いｗ

   • Embed this notice
     みちゃ (kitsune@heislandmine.work)'s status on Monday, 23-Oct-2023 00:50:44 JST みちゃ

     in reply to

     • 杉田匠

     @gizenchan @tacumi ごめんなんかノリでリプしてしまった BASIC認証はシンプルなID/PW認証です 画像みたいなやつ 使いどころとしては本格的な認証というよりは特定のWebページをID/PWを知ってる人だけ見れるようにしたい、という時に使う用途 実務だと公開前のページを関係者に確認してもらったりとかするのに使われがち

   • Embed this notice
     アホのなすーん (gizenchan@best-friends.chat)'s status on Monday, 23-Oct-2023 00:50:44 JST アホのなすーん

     in reply to

     • 杉田匠
     • みちゃ

     @kitsune @tacumi いえいえ、私ITに入って経験がメチャクチャ浅いから、こう言うの教えてもらえるの凄く助かるんです！勿論教えるのにお金が発生するレベルならスルーして頂いて良いのですが、調べたらBASICは覗き見ができちゃうみたいなこと書いてあって、だけどもoauthより実装は楽だって書いてありました。

     ・oauthも割と接続アプリケーション/認可プロバイダによってパッケージ化されてきてる気がするけど、それでもなおbasicより難しいです？未だに用途あるのでしょうか…

     ・basic、BASE64でplob型にすると書いてありますが、HTMLの中のjavascriptでエンコード/デコードするです？いつもHTMLって何をどうやってバックエンドとかいうのを持たせてんだろう

     って気になっているんです。全然もう1つのSaaSしか知らないから何もわかんない…

   • Embed this notice
     杉田匠 (tacumi@social.pseudo-whiskey.bar)'s status on Monday, 23-Oct-2023 00:50:45 JST 杉田匠

     in reply to

     @gizenchan@best-friends.chat
     EC2しか見てないとそう見えるけど本当はサービスを組み合わせて動かすらしい。ステップごとに解説動画と実際の操作マニュアルを読んで手を動かしながら勉強できるやつがあるからやってみて。
     https://aws.amazon.com/jp/training/digital/aws-cloud-quest/

   • Embed this notice
     アホのなすーん (gizenchan@best-friends.chat)'s status on Monday, 23-Oct-2023 00:50:45 JST アホのなすーん

     in reply to

     • 杉田匠

     @tacumi えっ！もしかしてこれ、なんか、SaaS的な要素も盛り込めたりするの！？神やん！(掌返し)

   • Embed this notice
     杉田匠 (tacumi@social.pseudo-whiskey.bar)'s status on Monday, 23-Oct-2023 00:50:45 JST 杉田匠

     in reply to

     @gizenchan@best-friends.chat
     マネージドRDBMSとかも用意されてるし、NoSQLとかRedis互換のサービスもあるし、HTML+CSSの静的サイト(Basic認証なし)ならS3とRoute53を使うことでLinuxを触らずとも公開できちまうんだ!!

   • Embed this notice
     みちゃ (kitsune@heislandmine.work)'s status on Monday, 23-Oct-2023 00:50:45 JST みちゃ

     in reply to

     • 杉田匠

     @tacumi @gizenchan Lambda Edge「BASIC認証と聞いてやってきました」

   • Embed this notice
     杉田匠 (tacumi@social.pseudo-whiskey.bar)'s status on Monday, 23-Oct-2023 00:50:45 JST 杉田匠

     in reply to

     • みちゃ

     @kitsune@heislandmine.work @gizenchan@best-friends.chat あっ、触ったことないサービスだ!!おつかれさまです!!

     サーシャちゃん　174cm repeated this.
   • Embed this notice
     アホのなすーん (gizenchan@best-friends.chat)'s status on Monday, 23-Oct-2023 00:50:45 JST アホのなすーん

     in reply to

     • 杉田匠
     • みちゃ

     @tacumi @kitsune ん？Basic認証？わかんないけど、認証ならoauthがいいよね。わかんない。Basicを使った瞬間が無いから、どこの役に立つかを理解できてないんだ。ごめん…わからん