7.3. ユーザの認証
ウェブブラウザでユーザ個人の専用の内容を表示したりデータを送信したりすることがあります。 たとえば履修登録システムを使うときです。このような状況を、個別のサービスを利用すると呼ぶことにします。
ログイン #
個別サービスを利用するためには、サービスを提供するウェブサイトに、そのサイトのアカウントで ログイン します。 東京大学の学生の場合、2種類のアカウントにログインして授業を受けていることが多いでしょう。
- 10桁の数字あるいは10桁の数字
@utac.u-tokyo.ac.jp
UTAS, ITC-LMSなど本学のシステムと Office365などMicrosoft社提供のサービスで利用 - 自分で決めた文字列
@g.ecc.u-tokyo.ac.jpECCSクラウドメール (gmail), google drive などGoogle 社提供のサービスで利用
@utac.u-tokyo.ac.jp)。
ログインに成功すると、成功した証拠が Cookie という情報として手元のブラウザに蓄えられ、以降そのブラウザから該当サイトへのアクセスは個人アカウントと結びつけらます。
時間が経過してサーバが無効化するか、ユーザがログアウト操作をする (ウェブサイトにより手順は異なります) まで有効です。
iMac 端末へのログイン・ログアウトとブラウザでのログイン・ログアウトを区別してください。
Microsoft社のサービスではログイン・ログアウトの代わりにサインインサインアウトと呼ぶようです。意味は同じです。
ウェブと認証 #
このHWBも含めて、ウェブの基本的な使い方では URL に対応する文書が表示されました。このとき表示される内容は誰がアクセスしても同じです。
一方、個別のサービスを利用するときは、ユーザとサーバ (情報提供側) の双方でお互いを正しく認識する必要があります。 つまり、片方が相手方を誤認すると不具合が生じます。
サーバによるユーザの認識 #
サーバがユーザを誤認すると、ユーザの情報が別のユーザや部外者に漏洩します。 たとえば、ユーザのパスワードが他者に知られてしまうとこの状況が起こります。
他にサーバに不具合がある場合はユーザの立場では防ぎようがありません。HWBでは、大学が契約しているシステムは正しく運用されているという立場で説明を書きます。
ユーザによるサーバの認識 #
ユーザがサーバを誤認すると、ユーザが自分の個人の情報を偽サーバに送信してしまいます。たとえば、よく似せた偽サイトに気づかずにログインしようとするとパスワードを知られてしまいます (このような攻撃をフィッシング詐欺と呼びます)。
安全な習慣 #
以下の習慣は推奨されます
- よく使うサイトはブックマークし、ブックマークから開いたサイトにログインする
- パスワードを入力する前に、深呼吸する
- (個人PCの場合) ブラウザを最新版に更新してから、使用する
以下のような行動をとるまえによく考えましょう:
- 大学管理でも自分のPCでもない環境のブラウザで、ログインする
- 初めてのサイトに、ログインする
- 電子メールで知らされた URL をクリックして、ログインする
https #
入学直後など、正当と思われるサービスをはじめて使う際は、丁寧にURLを確認しましょう。 下図はGoogle Drive へのログイン画面のアドレスバーで、鍵マークをクリックしたスクリーンショットです。
- URLのドメイン名が
google.comで終わる (他にu-tokyo.ac.jpmicrosoft.comなどいくつか覚える必要があります) - 「この接続は保護されています」と表示がある
- ウェブブラウザから警告が出ていない
コンピュータあるいはウェブブラウザへのすべてのキーボード入力を記録することが、技術的には可能です。 友人のPCを借りることは一般に推奨されませんが、そこでHWBを読んで一緒に勉強することと、ログインして個別サービスを利用することには大きな差があります。
プライベートブラウズ #
ログインすると、別のウィンドウや別のタブでもその状態が共有されます。 一方なんらかの事情で、ログインしていない状態の表示をみてみたいという時は、 プライベートブラウズやシークレットモードと呼ばれる機能を使います。
プライベートブラウズでは、通常モードでのWeb サイトへのログインなどの情報は共有されず、まっさらな状態からブラウズを始めることができます。また プライベートブラウズでもログインすることができますが、ブラウザを閉じるとログイン情報や閲覧履歴は削除されます。 履歴をブラウザに残したくないときにも有用な機能です。