No.4585
にしし
>
たこ焼きを食べました。6個。
🥞Re:4584◆ss1.xrea.com ドメインを使った、お使いのてがろぐのURL(例えば、https://ss1.xrea.com/ ID.SERVER.xrea.com /tegalog/tegalog.cgi 等)にアクセスした状態で、そこに見えているQUICKPOSTから投稿しても、同様のエラーが出ますか?
もしそうなら、お使いの環境では「閲覧者に向けてはhttpsの方を公開しておいて、自分だけはhttpの方を使う」という方法しかなさそうに思います。
---
> FAQの「fumycts.plを書き換える」で解決できるケースでしょうか?
> おすすめではないと書かれている点について、よければ詳しく教えていただけませんか?
お使いの状況では、fumycts.plを書き換える方法で解決してはいけません。(書き換えると、エラーは出なくなりますが。)
これは、フィッシング攻撃や、CSRF(クロスサイト・リクエスト・フォージェリ)攻撃を防ぐ機能の1つだからです。他所のWebサイトに攻撃用のページを作成しておいて、そこに何らかの方法であなた(=てがろぐにログインする権利を持った人物)を誘導した上で、その攻撃用ページから何らかの情報(ログイン情報なり投稿データなり設定変更情報なり)をてがろぐに向けて送信することで、パスワードを盗んだり変更したり、意図しない投稿をさせたり、意図しない設定変更をさせたりする……、というのを防ぐ機能です。
そのために、「そのてがろぐが稼働しているドメイン」ではないドメインから送られてきたリクエストは拒否する仕様になっています。
この機能を無効にしてしまうと、フィッシング攻撃やCSRF攻撃を防げなくなってしまいます。なので、一般のWeb上に公開されているてがろぐでは無効にしてはいけません。無効にする方法を用意しているのは、あくまでも「ローカルで稼働させている」とか「何らかの別のセキュリティで守られた空間で稼働させている」とか、第三者がアクセスすることはないと断言できる場所で稼働させている場合のためです。
なお、「例外のドメインを1つ設定できたら良いのでは?」と思われるかもしれませんが、今回の場合、もし ss1.xrea.com ドメインを例外として許容してしまうと、同じドメインの使用権を持つ他者からの攻撃が防げなくなる問題がありますので、そうはできないのです。
(根本的に解決するには、「自分だけが使えるサブドメイン」でhttpsを使わせてくれるサーバを使う、という手しかないと思います。)
309日前(金 12:12:12) 回答/返信
- ユーザ「にしし」の投稿だけを見る (※時系列順で見る)
- この投稿と同じカテゴリに属する投稿:
- この投稿日時に関連する投稿:
- この投稿に隣接する前後3件ずつをまとめて見る
- この投稿を再編集または削除する