ステージングまたはパスワード保護されたウェブサイトの校正
ステージングまたはパスワードで保護されたウェブサイトをレビューする必要がある場合は、レビュー担当者がプルーフを開いたときにサインインする必要がないように、プルーフURL内でログイン資格情報を渡すことができます。
このバイパス方法は、基本的な認証方法を使用しているウェブサイトにも対応していますが、ウェブサイトがより高度な認証(セッションベース認証、トークンベース認証、またはOAuth / OpenID Connectプロトコル)で保護されている場合は、Ziflowビューア内での表示がブロックされる可能性があります。
URLのクエリ文字列に認証情報を渡すことでログイン画面をバイパスすることは技術的には可能ですが、非常に安全性の低い方法であるため、本番環境では絶対に使用しないでください。この方法は、認証情報が平文で送信されるため、悪意のある攻撃者によって容易に傍受される可能性があり、重大なセキュリティリスクを伴います。
また、ウェブアプリケーションは通常、クエリ文字列に認証情報が含まれているかどうかのみに基づいてユーザーを認証するわけではありません。セッションベース認証、トークンベース認証、OAuth / OpenID Connectプロトコルなど、より安全な認証メカニズムを採用しています。
資格情報を渡すためにクエリ文字列を使用すると、次の結果が生じる可能性があります。
- セキュリティ上の脆弱性:ユーザー名やパスワードなどの機密情報を平文で送信すると、攻撃者による傍受の危険にさらされます。
- 漏洩リスク:認証情報を含むURLは、ウェブサーバー、プロキシ、ブラウザによってログに記録され、不正アクセスの危険にさらされる可能性があります。
- ベストプラクティス違反:クエリ文字列に認証情報を保存することは、セキュリティのベストプラクティスおよび業界標準に違反します。
URLとともに資格情報を渡すには、次の2つの形式があります。
- https://mywebsite.com/?bypass=(username)-(password)
このソリューションが正しく機能するには、ウェブサイトに実装する必要があります。 - https://username:password@mywebsite.com/
mywebsite.comをステージングウェブサイトのアドレスに置き換え、ユーザー名とパスワードの両方をウェブサイトの資格情報に置き換えるだけです。
次に、生成されたURLを使用してライブウェブサイトのプルーフを作成し、プルーフを開いて認証が機能したかどうかを確認します。
ステージングウェブサイトの検証には、特定のIPアドレス(Ziflowを含む)からのみアクセスできるように設定することをお勧めします。これにより、ウェブサイトのセキュリティが確保され、指定されたIPアドレス以外からのアクセスを防止できます。
以下のIPアドレスからのHTTPSおよびWSSトラフィックを許可すると、ウェブサイトがZiflowビューア内で問題なく表示されるようになります。
- 3.217.63.90
- 3.218.57.116
- 52.0.97.84
- 54.196.210.150
- 34.231.210.90
- 3.212.239.47
- 3.228.239.233
- 34.239.40.84
- 52.40.115.54
- 3.219.6.198
- 3.215.49.22
- 34.198.41.161
- 52.87.96.158