[webdav-jp:0956] Re: WIN2000serverとiisにおけるWEBDAVのセキュリティーについて

["Kunio Miyamoto" <wakatono@xxxxxxxxxx>]

　みやもとです。

> 今度研究でWEBDAVを使おうと思い勉強しています。

　がんばってください (^^)

> 問題になっていること
> ・サイトのルートフォルダにパスワードをかけてしまうと、
> (windowsクライアントでは)webフォルダとして開くを選択するとパスワードが
> 聞かれるが、
> 単に、URLを入力してWEBページを閲覧しようとしてもパスワードが聞かれてしまう。
> 問題解決のためにやりたいこと
> ・webフォルダとして開くを選択するときはパスワードを求める。
> WEBページを閲覧しようとするときは、パスワードを求めない。

　まず、同じURLを用いてこういったことは不可能です。
　WebフォルダからのリクエストとWebブラウザからのリクエストをそれぞれ分解して
みると、以下の(1),(2)のようになります。

(1)Webフォルダとして（というかWebフォルダから）リソース（ファイル）を開く時に、リソース
に対して発行されるメソッドは GET である

(2)Webページを閲覧する際に、表示させるためのデータを持ってくるために発行される
メソッドは GET である

　IIS5側で何らかの特殊な機能を持っているならば話は別ですが、通常この2つのメソッ
ドは区別できません（というかしません）。

＃ユーザエージェント名を見てというのはあるかもしれませんが、とりあえずそういうつくり
＃にはなっていないかと思います。

> このようなことが可能でしょうか。

　このような場合は、

・同じディレクトリに対して複数のURL（仮想ディレクトリ）を設定する
　説明のため、仮想ディレクトリをそれぞれURL1とURL2とします
・URL1は、普通にWebブラウザからのアクセスを許可する
　必要な権限は設定するが、書き込みやディレクトリ閲覧などのところはIISの設定で「無効」
にしておく
・URL2は、アクセスするためのパスワードを設定する
　こちらに書き込みやディレクトリ閲覧などの設定を実施する
・閲覧のためのURLは URL1 を告知し、更新を行なう人（たち）には URL2 を更新用URLとし
て告知する

　という感じでいかがでしょうか。

　なお、似たような回避方法は、Apacheサーバ上でスクリプトソースコードにアクセスする
ための方法として紹介されています。

---
宮本 久仁男 ( Kunio Miyamoto )
E-mail: wakatono@xxxxxxxxxx
WebDAVシステム構築ガイド…12/19から発売(^^; http://davbook.todo.gr.jp/
WebDAV Resources JP:  http://webdav.todo.gr.jp/
wakatonoの戯れメモ     :  http://d.hatena.ne.jp/wakatono/