スパイラル サポートサイト

powered by SPIRAL PLACE®

HOME > FAQ > マイエリアの「セキュリティに関する設定」とはどのような機能ですか?

マイエリアの「セキュリティに関する設定」とはどのような機能ですか?

ログインセッション、ログインロックなど、セキュリティに関する設定をすることができます。


関連するページ
マイエリア
安全なスパイラルアプリケーションの作り方(機能グループ別)

目次

  1. ログインセッション設定
  2. ログインロック
  3. パスワード強度
  4. クリックログインを許可する仮想DB(フィルタ型)
  5. URL期限設定
  6. コンテンツに関するセキュリティ設定
  7. 非SSL(http)での登録
  8. クリックログインURLの暗号化パラメータ拡張

1. ログインセッション設定

マイエリアにログイン後、指定した時間を過ぎた場合、自動的にログアウト状態にすることができます。

セッション維持時間

初期値は「60分」です。
5~60分まで5分刻みで選択できます。
※認証方法「4 : 会員識別キー ( 非認証 : IDログイン )」を選択した場合、セッション維持時間は「60分」です。

自動ログイン

自動ログイン機能を有効にすると、ログインフォームに「ログインしたままにする(デフォルト表示)」が表示され、
次回ログイン時に自動ログインすることができます。
同一端末を複数人で利用する場合、他人のアカウントでログインできる可能性がありますので、ご注意ください。


自動ログイン期間は最大で「31日」まで選択できます。
また、自動ログイン期間中であっても、スパイラル操作画面から有効になっている自動ログインアクセスを全て遮断することができます。

自動ログイン有効時の注意事項

・ログインユーザーが「ログインしたままにする」にチェックを入れない場合は、60分間アクセスがないとログアウトします。
 また、チェックを入れてログインした場合は、スパイラルで設定した自動ログイン有効期間、ログイン状態が維持されます。
・同一のパソコンを複数人で利用する環境(インターネットカフェや図書館など)においては自動ログインが有効の場合、
 ログイン者本人とは異なる人がログイン後のコンテンツを閲覧できる状況が起こりえます。
 本機能をご利用になる場合は、エンドユーザー向けに当該リスクを喚起するなど、リスクを前提にご利用ください。
・本機能利用における事故やトラブル等が発生した場合は、全てユーザーの責任とし、株式会社パイプドビッツは一切の責任を負いません。

2. ログインロック

ログインロック

連続してログインできなかった回数でログインロックする時間を設定できます。
ログインロックを解除したい場合やログインエラー履歴を確認したい場合は、[ロック状態とエラー履歴の確認]をクリックしてください。


ログインロック解除

会員識別キーを確認し、[ロック解除]をクリックしてください。


3. パスワード強度

弱・中・強・最強から選択できます。
強度の条件の詳細はこちらをご確認ください。


[パスワード登録]ページソースDL、または[パスワード再登録]ページソース編集画面にて、
[パスワードメーター表示]を[使用する]に 設定した場合、
パスワード登録ページおよび再登録ページにパスワード強度メーターを設置することができます。


4. クリックログインを許可する仮想DB(フィルタ型)

仮想DB(フィルタ型)を発行している場合、クリックログインを許可するよう設定することができます。


許可する仮想DBを選択し、[変更]をクリックしてください。


5. URL期限設定

クリックログインURLの有効期間を設定できます。
チェックされない場合、メールの「URL有効期間設定」で指定された有効期間に設定されます。
デフォルトの有効期間は、送信から31日間です。


6. コンテンツに関するセキュリティ設定

※ver1.12.4で追加される機能です。

クロスサイトスクリプティング対策及びクリックジャッキング対策を行えます。
やむを得ない場合を除き、「設定する」にチェックし、
「クロスサイトスクリプティング対策」および「クリックジャッキング対策」にチェックすることを推奨します。

クロスサイトスクリプティング対策

(1)クロスサイトスクリプティングとは

Webアプリケーションの脆弱性、もしくはその脆弱性を利用した攻撃のことです。
攻撃者は、悪意のあるスクリプトの入ったページに利用者を誘導し、スクリプトを実行させます。

(2)「クロスサイトスクリプティング対策」にチェックした場合

設定すると、レスポンスヘッダに以下の要素が追加され、危険なスクリプトがブロックされます。
X-XSS-Protection:1; mode=block


クリックジャッキング対策

(1)クリックジャッキングとは

Webページの利用者にとって意図しない動作をさせる攻撃のことです。
攻撃者は、利用者が開くWebページに透明化した悪意のあるページやボタンを重ねて、利用者にとって意図しないクリックをさせます。

(2)「クリックジャッキング対策」にチェックした場合

設定すると、レスポンスヘッダに以下の要素が追加され、対象ページを他のページ内に設置しても表示されません。
X-Frame-Options:SAMEORIGIN

(3)「クリックジャッキング対策」にチェックした場合のiframeの利用

iframeを利用している場合、対象ページを異なるドメインのiframeの中に設置するとページが表示されなくなります。
例えば、スパイラル以外のWebページにて、iframeを使って、マイエリアに設置したページを読み込んでいる場合、
マイエリアに設置したページは表示されません。

ページが表示されない際の表示

 ・Google Chromeの場合 :iframe内が真っ白になります。
 ・Safariの場合     :iframe内が真っ白になります。
 ・InternetExplorerの場合:iframe内に「このコンテンツはフレーム内で表示できません」というエラーが表示されます。

画面イメージ

(下の画像はGoogle Chromeの場合です。ブラウザによって表示が異なります。)


初期値

作成時の初期値が、スパイラルver1.12.4リリース前とリリース後で異なります。
(1.12.4バージョンアップに新規作成)
・チェックなし


(1.12.4バージョンアップに新規作成)
・「設定する」
・「クロスサイトスクリプティング対策」および「クリックジャッキング対策」にチェック


7. 非SSL(http)での登録

※ver1.12.4で追加される機能です。

SSL 非対応の携帯に対応するためなど、やむを得ない場合を除き、許可しない(チェックなし)ことを推奨します。

非SSL(http)での登録を許可しない場合

ページを表示する際、httpsでしかアクセスできません。
非SSL(http)でアクセスしようとするとエラーになります。

初期値

作成時の初期値が、スパイラルver1.12.4リリース前とリリース後で異なります。
(1.12.4バージョンアップに新規作成)
・「許可する」


(1.12.4バージョンアップに新規作成)
・チェックなし


8. クリックログインURLの暗号化パラメータ拡張

[封筒製作:直接入力]および[EXPRESS2]の差替えキーワード一覧より、
暗号化されたパラメータ部分の長さを拡張した [クリックログインURL(拡張)]を選択できます。
[クリックログインURL(拡張)]を表示するには、差替えキーワード一覧にて、[URL表示形式:全て表示]をクリックしてください。


最終更新日:2018/2/14