- - PR -
CSVファイルのセキュリティについて
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2009-01-20 17:50
早速ですが、CSVファイルのセキュリティについて質問したいと思います。
現在、Webアプリケーションを作成しているのですが、 CSVファイルを出力する場合、Response.WriteFileでCSVファイルを作成せずに 出力させています。 今回、帳票を出力するソフト?をASP.NET上で利用することになりました。 このソフトの処理の流れとしては、 サーバー上にある帳票ファイルとCSVファイルをクライアントのPCから、 サーバーのフォルダパスをJavaScriptで参照して、 クライアント上で帳票ファイルとCSVファイルを結びつけて出力するような形です。 このような処理をする場合、どうしてもCSVをファイルとしてサーバー上に 保存し、公開しなければなりません。 そうすると、他のログインしていないPCから直接URLで入力すれば、 CSVファイルが見れてしまいます。 また、このWebアプリの認証は単にログイン時にSessionを作成し、 画面遷移時やボタン押下時にSessionがあるかどうか確認することで、 認証(?とゆうか確認)しているシステムなので、(←この時点で問題がある) Web.configでのフォルダに対しての認証設定ができません。 (用はフォーム認証でもWindows認証でもではない。) 現在の対応としては、ファイル名を日時などを入れて特定しにくいファイル名にしたり、 帳票出力後ファイルを削除したりしています。 この対応では一時的には直接URLを入力すれば見れてしまいます。 長々となりましたが、なにかいい方法はありませんか? | ||||
|
投稿日時: 2009-01-20 17:57
httphandler に、csv をSystem.Web.HttpForbiddenHandler としてアクセス不可にするとか。
もっと簡単なのは、csv の拡張子を config などの元々アクセス不可のものに変更するとか。 | ||||
|
投稿日時: 2009-01-20 18:13
App_Dataフォルダ内に置く、でもいいような気がしますね。
| ||||
|
投稿日時: 2009-01-20 18:57
多くの Web アプリでは、セッションID は、ばれない前提で
構築されているかと思いますので、 セッションID 名のフォルダなどに入れてしまうのでは どうでしょうか? | ||||
|
投稿日時: 2009-01-20 23:33
Virtual directory に置かずに、Web application で読み込み client に write してやるのが鉄則ですね。
| ||||
|
投稿日時: 2009-01-20 23:51
認証式のWEBDAVにするとか。
そもそもアプリの作りに問題があるんでしょうけど。 | ||||
|
投稿日時: 2009-01-21 12:26
皆さんご返答ありがとうございます。
囚人さん、どっとねっとふぁんさん、ちゃっぴさんのご返答に対しては、 この帳票の出力システムは、クライアント側からCSVファイルを アクセスしにいく仕組みになっている為、どうしてもCSVはアクセスできるように なっていなければなりません。 武史さんのセッションID名のフォルダとは? セッションを持っている人しかアクセスできないフォルダを作れるということですか?
まさしくそうなんです。 いろいろ考えたのですが、 やっぱりWebアプリの設定上ではCSVファイル或いはCSVがあるフォルダは、 公開にして、認証によりアクセスの可・不可の判断をしなければ いけないと思います。 まとめると方法としては、 @ Form認証を使ってCSVファイルがあるフォルダに対して認証をかける A 武史さんの方法 といったところでしょうか? | ||||
|
投稿日時: 2009-01-21 13:08
> CSVファイルを出力する場合、Response.WriteFileでCSVファイルを作成せずに
> 出力させています。 このままではいけないの? JavaScriptからはたとえばashxファイルを指定して、その結果としてWriteFileでCSVファイルを返せばいいんじゃ? ashxファイルのなかでセッションによる認証を確認すればいいんですよね。 | ||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。