水無月ばけらのえび日記

ASP.NET は Authorization フィールドが読める

Basic 認証では HTTP 要求ヘッダの中に Authorization というフィールドが出力され、ID:パスワードを Base64 エンコードしたものが値として送出されます。このフィールドは Apache の CGI からは読むことが出来ません。これはセキュリティ的な配慮で、Authorization フィールドの値が環境変数の値として CGI に渡されると、それが外から読まれてしまう可能性があるためです。

ところが ASP.NET にはこのような制限がなく、Authorization フィールドも他のフィールドと全く同じように読めるようです。Request.Headers["Authorization"] を参照すると、何の問題もなく取得できてしまいます。自ら 401 を返して任意の ID とパスワードで認証するようなことも出来て、便利は便利です。

※ちょっと頑張れば Digest 認証も実装できそうですね。クライアント側が対応しているかどうかは謎ですが。

しかし、これはちょっと気をつけておく必要があります。ユーザが任意の ASP.NET のリソースを使用できるようなサーバで Basic 認証を使っていると、その ID とパスワードを別のユーザの ASP.NET によって読み取られてしまう可能性があります。

• 「ASP.NET は Authorization フィールドが読める」へのコメント (6件)

関連する話題: Web / セキュリティ / .NET / プログラミング

最少リンクプレイ断念

リーヴェルファンタジア (www.amazon.co.jp)、8月。ウォルター、アンソニーとサブリナの話。実は一番印象に残っていないお話だったりしますが、メイドマリエルが見られるのは貴重。実はこのとき、マリエルの頭のリボンも、いつものやつと色違いの白黒のものになっているんですね。うーん、良くあったなぁ。

結局、ミスリルなどは拾えず苦戦しつつも借金返済してクリア。

そして9月。「つのだ☆ひろ」ならぬ「ザ☆スカイ」のお話。リペアキッドがいないと話が進まないので誕生させ、その後ヘリバンブーも誕生させて風の迷宮へ。

風の迷宮は慣れないとどこをどう進んで良いのか分からなかったりしますが、慣れていれば楽勝です。ケインフォックスに会って牢獄の封印を解き……。

……って、封印が解けないですよっ!?

何度試しても、「あんたみたいなチビには無理だ」などと言われて解けません。先にパーンを助けてみましたが、状況変わらず。初回プレイでは、特に何かしなくてもいきなり封印が解けたような気がするのです。そうなると、思い当たるのは妖精とのリンク数が一定以上になっていないと封印が解けないという可能性。まだリンク数 30ちょいのフェアリーサモナーですから、力不足ということなのかも知れません。

……妖精とリンクしまくれば進めるのかも知れませんが、それでは最少リンクプレイの意味なし。よって最少リンクプレイはここにて断念、と相成りました。

• 「最少リンクプレイ断念」へのコメント (2件)

関連する話題: ゲーム / リーヴェルファンタジア