プライベートにしておきたいウェブサイトに関して、ユーザーのIPを制限/許可できず、パスワード保護を実装できない状況。ただし、ユーザーにカスタムユーザーエージェントを使用させることができます。
最初の防衛線として、私はすべてのユーザーエージェントを拒否し、1つのあいまいなエージェントを許可することを考えています。
Apacheのドキュメントには次のように書かれています。
User-Agentによるアクセス制御は、エンドユーザーの気まぐれでUser-Agentヘッダーを何にでも設定できるため、信頼性の低い手法です。
しかし、私は、すべてを否定し、1つだけを受け入れるという逆の方法で、非常に効果的であると考えています。
私の質問は1.)状況を説明することは良い解決策のように思われますか2.)特定のサーバーでどのユーザーエージェントが許可されているかを人々が理解する方法はありますか?
しかし、私は、すべてを否定し、1つだけを受け入れるという逆の方法で、非常に効果的であると考えています。
あなたが引用した文書は、あなたが提案していることに対して特に警告しています。
トラフィックが暗号化された(HTTPS)チャネルを通過していない限り(他の認証手段を使用するオプションがない場合はおそらくそうではないようです)、クライアントネットワークと宛先ネットワークの間のどこにいてもカジュアルなオブザーバーが可能ですどのユーザーエージェントがサービスに「受け入れられている」かを確認します。つまり、プライバシーの保証はありません。