ページ 11

WebLoginPE、もしくはWebSignupでのユーザ登録時に登録者のIPを取得したい。  【解決済み】

Posted: 2011年5月22日(日) 02:56
by mizui0351
以前phpでアクセス制限していたサイトを、この度MODxで再構築中です。

MODxでは各ウェブユーザーアカウントに対してIPを制御できるようなので、是非活用したいと思っているのですが、
会員登録時に 登録者のIPをそのままユーザーのIPアドレス制限欄へ保存する事は可能でしょうか?

実は以前のアクセスログを見ると、IDとパスを友人知人へ貸与されて方がいるようなので、それを制限したく、
アカウント登録後 メールフォームからご連絡頂いて こっそりIPを抜き出す方法も考えましたが、
それだと2度手間になってしまいますので 悩んでおります。

WebLoginPE、もしくはWebSignupでのユーザ登録時に登録者のIPを取得できれば、
それがベストかと考えているのですが。
どなたか解決法をご存知の方がいらっしゃいましたら、よろしくお願い致しますm(__)m

Re: WebLoginPE、もしくはWebSignupでのユーザ登録時に登録者のIPを取得したい。

Posted: 2011年5月23日(月) 10:58
by sama55
mizui0351さんこんにちは

WebLoginPEやWebSignupは詳しくなく、かつ、概念的な話で恐縮です。
お困りの事象への対策を考える上で何かの参考になればと思い投稿いたします。

1.コアのログインIP制限機能に対する個人的な考え

この機能はユーザーのIDやパスワードが漏洩もしくは類推された場合でも"なりすまし"による不正アクセスを防ぐためのユーザー本人の意思による自発的な防衛機能と考えています。

2.管理側でウェブユーザーのIPを制限すべきか(管理者がコアのIP制限機能を使うべきか)

プラグインの改造もしくはOnBeforeWUsrFormSaveあたりをフックするプラグインを作ればウェブユーザー登録時のIPは取得できると思います。ただ、既にご存知と思いますが、スパム(サイトの規定によってはアカウントの貸与や譲渡がスパムである場合もありますが・・・)やセキュリティ対策ではなく、プログラム的かつデフォルトでIPでログインを制限してしまいますと、オンラインツールが持つユビキタス機能を大きく制限することになり、結果、普通に使ってるユーザーの利便性が著しく損なわれる懸念が生じます(自宅ではアクセスできるけど出先や会社ではアクセスできない等)。IP制限機能では複数のアドレスを登録できるので、アクセスする場所や機器に応じてIPを登録すれば、一見この弊害を回避できそうに感じますが、どっこい、多くの一般的なユーザーはそのようなことは知りませんし、できない(しない)だろうと思われます。また、IP制限機能+ユビキタス機能を維持するためには、複数のIPの登録をユーザーに許す必要があります。これは意図的にIPを貸与または譲渡するユーザーにも機能しますので、貸与先または譲渡先相手のIPを登録すれば貸与や譲渡ができてしまいます。余談として、運用的な事情から、アカウントを共有する人々の間での信頼関係を基に、進んで1つのアカウントを複数人で共有することはよくあります(私もそのように運用しているサイトがあります)。

3.現状のガード手段に対する個人的な考察

CMSを含むオンラインシステムでは、アカウント作成時にその貸与や譲渡の禁止及び罰則規定を明示し、それに同意した場合のみユーザーを作成し、違反したユーザーにはペナルティーを含む何らかの措置を講じる、という対策をよく見かけます。ここで言う「同意」とは、約束を守ることと約束を破った場合に処罰されても異議申し立てをしないという意思表示を意味します。このアナログチックな対策は、実効性が薄く頼りないものですが、オープンなネットワークでのデジタルな本人認証には限界があるため、一部の違反者のために他の利用者の利便性が損なわれないための、ある種やむを得ぬ策(暗黙の合意/お約束)のように感じます。

4.ユーザーのログインIPを記録するスレ

下のトピックを見つけました。記録されたIPが不正か妥当かは管理側からは分からないので、不正アクセスの報告があった時に、管理者の調査を楽にすることぐらいはできるかもしれません。何かの参考になれば・・・
http://modxcms.com/forums/index.php?topic=34341.0

補足)MODXの管理者の個人情報メンテナンスに関するコアの機能的な欠陥
http://forum.modx.jp/viewtopic.php?f=32&t=516

Re: WebLoginPE、もしくはWebSignupでのユーザ登録時に登録者のIPを取得したい。

Posted: 2011年5月24日(火) 17:55
by mizui0351
sama55さん、こんにちは。
早速の返信、ありがとうございます。

頂いた返信から、IP制限について、私なりに考え直してみました。

私の作成サイトは自宅外から見るには あまり適切とは言えないとは思うのですが
(怪しいと言う意味ではなく、ただのタレントさんのファンページなのですが、内容的にちょっと、、)。
これについては、ユーザー各人の判断に委ねてもよいのかな・・と考えを改めました。

また、よくよく考えてみればIP制限と一口に言っても、停電等で自宅のPCのIPって変わってしまう物なんですよね。
IPが固定化されているとは限らないという点を考慮すると、IP制限はすべきでないと結論付けました。

私も ギスギスと考えすぎていたような気がします。
偏った考えを解きほぐすきっかけになりました。ありがとうございます。そして、お手数をおかけしました。

それから、ログインIPの記録に関するスレッドについても、ありがとうございました。
スレッドを参考にしながら、管理の方に重点を移したいと思います。