- ベストアンサー
SSLを使用した場合ユーザ認証はBASIC認証でいい?
Apacheを使用して個人用途(他人にはいっさい公開しない)サイトを作成しようとしています。 (しばらくはLAN内で使用するが、後にインターネットからもアクセス可能にする予定) セキュリティはできるかぎり確保したいので暗号化通信、ユーザ認証を考えています。 SSLは導入できそうなところまできましたが、ユーザ認証はどうしたらいいか悩んでいます。 いまのところBASIC認証とダイジェスト認証があがっていますが、SSLにて暗号化するならBASIC認証でいいのでは?と考えています。 ほかの選択肢はあるのでしょうか? サーバOS:VineLinux3.2 Apache:1.3
- sambarunba
- お礼率70% (117/165)
- ネットワーク
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
BASIC 認証やダイジェスト認証以外にも、OTP (ワンタイムパスワード) や SSL クライアント認証がありますが、通常のサイト運営ですと、手間暇などを考慮すると、BASIC 認証を選択するのが一般的だと思います。 もちろん、SSL を利用されるのであれば、BASIC 認証で送信されるパスワードも暗号化されるので、セッションキーを破られない限りは、通信経路上でパスワードが盗まれるようなことはありません。
関連するQ&A
- Apacheのユーザ認証について
Apache1.3.*でBASIC認証をしようと考えているのですが、 2点わからない点があるので、わかる方教えてください。 (1)BASIC認証で入力するパスワードを暗号化するには? →認証をかけたいページをSSL暗号化していれば 認証のときも暗号化がかかる? (2)UNIXアカウントをそのまま認証に使用できない? 宜しくお願いします。
- 締切済み
- ネットワーク
- BASIC認証をSSLで使用する場合
私は現在XREAという.htaccessOKのサーバ屋のサーバを使っています。 このサーバは非公開ディレクトリも作成できるので そちらにいろいろと非公開コンテンツを乗っけようと思いましたが CGIが対応していないようなので公開ディレクトリの下に BASIC認証を敷こうと思っています。 そのさい、単にBASIC認証だとパスワードが平文で送信されるそうなので パスワードを認証して最初のページに入るまでSSLを使用し、 BASIC認証の弱点を克服することが出来たらと思っております。 どうすればhttps://の状態でBASIC認証をかけることができるか、 また認証後http://に戻すにはどうすればいいのか、ご存知の方 いらっしゃいましたらご教授願います。
- 締切済み
- ネットワーク
- SSL認証後のTracの動き
現在、ローカルにあるTracを外部に公開しようと考えています。 SSLを使わないローカル接続ではエラーは出ないのですが、 一度、SSL通信を行った後にTracのログインリンクを押すと IDとパスワードを入力する画面が出ずに 「Authorization Required」となってしまいます。 これは、SSL通信の際に入力したIDとパスワードを 引き継いだままになっているから出るエラーなのでしょうか。 Tracの認証はダイジェスト認証に設定をしてあります。 別サイトでSSL認証 → 公開するTracのページ と言う流れです。 どなたかご教授願えないでしょうか。 よろしくお願い致します。 使用している環境は下記の通りです。 Software related with Apache and Subversion プロダクト ライセンス バージョン Apache2+SSL Apache License 2.0 2.2.6 mod_python Apache License 2.0 3.3.0b Subversion Apache License 2.0 1.4.5 Subversion Python Binding Apache License 2.0 win32-1.4.5_py25 Software related with Trac and Python プロダクト ライセンス バージョン trac-ja BSD License 0.10.4-ja-1 Python Python License 2.5.1 setuptools Python License or ZPL 0.6c7-py2.5 ClearSilver Neotonic ClearSilver License 0.10.4.win32-py2.5 SilverCity BSD License 0.9.7-win32-py2.4 SQLite3 Public Domain 3.3.8(+文字化け対応パッチ) SQLite Database Browser Public Domain 1.3 Apache Maven Apache Software License 2.0 2.0.8 Hudson Creative Commons Attribution Share-Alike license and MIT License 1.212 Tracのプラグインとして、TracWebAdmin、TracAccountManager、WebAdminUsers、IniAdmin、 AuthzWebAdmin、AddCommentMacro、TagsPlugin、TocMacro、TracNav、XMLRPCPlugin、 CustomFieldAdmin、DecoratorPugin、CompeteUserPlugin、TracWysiwygを含んでいます。
- ベストアンサー
- その他(ITシステム運用・管理)
- Basic認証以外でのアクセス制限
会員制のWebサイトを運営しています。これまでは同好会のようなサイトのため、Basic認証を使用してきました。 しかし、会員数が1万人を越えたため、そろそろセキュリティのことも考えなくてはならなくなり、何か別の方法を探しています。なお、私自身はWebデザイナーでプログラムは書けません。 一般的にBasic認証からのアップグレードではDigest認証になるらしいのですが、使用サーバがさくらのレンタルサーバ(ビジネスプロ)で、apacheが1.3xのためDigest認証は使用できないようです。 会員サイトへのログインについては、独自SSLを取得してログイン認証を暗号化してもいいと考えているのですが、Basic認証のままでは「ログアウト」がなく、共有PCなどではすべてのブラウザウインドウを閉じてもらうしかない点が不評です。PHPでセッションやクッキーを使ったものはどうかな?とも考えているのですが、今までのBasic認証で使ってきたパスワードファイルが流用できるかどうかがわかりません。 何かよい解決策や情報がありましたらお教えください。よろしくお願いします。
- ベストアンサー
- ネットワーク
- SSLを導入したい
すみません。SSLを個人のPCに導入したいのです。しかし、SSLを導入するのに必要なものや仕方が分からないのです。有料の電子証明書を発行する認証局のサイトを見て、SSLの仕組みなどを見ても、頭から?が飛び出ます。 ローカルネットワーク内で、試験的に、SSLによる暗号化が行われているかテストしたいので、証明書を個人で作成するつもりです。 環境: OS : Windows XP Professional Webサーバ : Apache 2 この環境で(OSがWindowsでいいのかはわかりませんが、「Apacheを使う」環境という意味で)、SSL暗号化処理を1から構築するために、しなくてはいけないこと、用意することや、その手順について、詳しく教えていただけたら幸いです。
- ベストアンサー
- ネットワーク
- SSL
SSLのような暗号化機能を実装したいのですが、SSLのアルゴリズム、キーの作り方など、というのは公開されていますか? ソースコードとか落ちてるものなんでしょうか(.NETでなくてもかまいません)。 ライブラリのようなものでも、通信以外の部分にキーの作成、暗号化が適用できればそれでもいいのですが。 または、SSLを使うのではなく、作る目的に適った本などがあれば教えてください。
- ベストアンサー
- その他(プログラミング・開発)
- ベーシック認証以外にSSLが必要でしょうか?
会社で拠点間の通信を行います。 (規定集と届出書を支店でもダウンロードできる様にしたいです) サーバーの設定でベーシック認証は使え、IDとパスワードによる認証はできる様になったのですが、付け加えてSSLで暗号化する必要があるのでしょうか? ベリサインなどの認証局だとライセンスが高すぎてしまうので躊躇してしまいます。 一般的にベーシック認証で送信されるIDなどが改ざんされたりする確立はどれくらいのものなのでしょうか?
- ベストアンサー
- ネットワーク
- Digest認証で、グループウェアは守られますか?
こんばんは。 いま、小規模グループウェアを構築中です。一般的なレンタルサーバーにphpGroupWareを置いて使っています。サーバーはSSL対応ですが、諸事情でSSL通信は使えません! そこで、Digest認証を考えています。Digest認証を使えば非SSL環境で通信が盗聴されたとしてもパスワードは一般的に流出しませんよね? その後、phpGroupWareのIDとパスワードも盗聴されたとします。そのIDとパスワードを入力する画面に辿り着く前にDigest認証でブロックされる。 →よって非SSLでもDigest認証を掛ければ安全! というのは正しい認識でしょうか? その時にphpGroupWareで表示した情報は盗聴されると思いますが、それは考慮しません。もちろんMD5も日が経てば安全性には疑問が出てきたり、また盗聴ではなくキーロガーを仕掛けられたら元も子もないですが、そういう可能性は無視でお願いします。あくまでもネットワーク盗聴についてでお願いします。 それでは、よろしくお願いいたします。
- ベストアンサー
- ネットワーク
- なぜ@NiftyはBASIC認証でユーザー認証しているのか?
日本で初めてインターネットを提供開始した@niftyでは会員サイトでのユーザ認証をBASIC認証を使用しています。 Yahoo!やGoogle,goo,infoseekなど大手ポータルサイトなどはBASIC認証ではなくクッキーとセッションIDを使用したユーザ認証を使用しています。 なぜ、最高のセキュリティを保たなければならないISPでもある@Niftyが今でもBASIC認証を使用しているのでしょうか? BASIC認証でのセキュリティは大丈夫なのでしょうか? メリット、デメリットなど教えてください。
- ベストアンサー
- ネットワーク
お礼
回答ありがうございます。 >もちろん、SSL を利用されるのであれば、BASIC 認証で送信されるパスワードも暗号化されるので、 >セッションキーを破られない限りは、通信経路上でパスワードが盗まれるようなことはありません。 暗号化されているのかがはっきりと分からず悩んでいたのですっきりしました。 BASIC認証を使用したいと思います。 ありがとうございました。