- ベストアンサー
見られないかとても心配です・・・。大丈夫でしょうか?
こんにちは、私は今.htaccessを使ってパスワードとIDで管理されたアクセス制限付のページを作成しようとしているのですが、そこで不安な事と疑問が出ているので、経験者の方がおられましたら教えていただけないでしょうか? NO1不安です。 いくら.htaccessでパスワードやIDを設定したからといって本当に安全なものでしょうか?第三者が入ってくるといった事は無いものでしょうか?またこのディレクトリ内に大事なファイルを置いておいても大丈夫なものなのでしょうか?とても不安です。 NO2疑問です。 .htaccess以下のディレクトリに置いた物には、全て認証が必要となるらしいのですが?(あってます?)ファイルやフォルダが沢山あっても、問題なく機能しますでしょうか?たとえばファイルが1000ページとかでも・・・?今後増えていく予定なので、あまり沢山になると不都合等ありましたらご紹介いいただけないでしょうか? 初めての設置で、まだ設置すら出来ていませんが、よろしくお願いいたします。
- yuyukina
- お礼率66% (251/380)
- ネットワーク
- 回答数5
- ありがとう数5
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
> XREA ふに~。XREAってレンタルサーバ(というよりWebホスティング)じゃないのんけ。 ・・・・(検索中)・・・・ ふむふむ。証明書はXREAの物が使えるらしい。さらに、.htaccessによるBASIC認証も可能。 ようし、君がやるべき事は、 1.XREAにおけるHTTPSの利用方法を調べる。 2.BASIC認証をかけたいディレクトリに対して、HTTP通信を拒否する設定にする。(HTTPとHTTPSで同一ディレクトリを使う場合) とりあえずこれだ。ここまで出来たら、その後はその時考えよう。
その他の回答 (4)
★No.1不安について・・ サーバー管理者には、必ず、見られます。 CGIに関係ないファイルの場合、BASIC認証を設定しても、同じレンタルサーバーに同居している人には、見られます。これを防ぐには、ファイルを暗号化して、解読ソフトをパソコン側に用意しておくか、あるいは、仮想サーバーなど、高価なレンタルサーバーを利用するしかありません。 CGI関係のファイルなどなら、パーミッションを正しく設定すれば見られませんが・・一般に配布されているようなCGIの場合、改造が必要だったりします。 ★No.2疑問について・・ 数は問題ありません。 見られる可能性については、「No.1不安」に準じます。
お礼
YAMAMAYAさん有難うございます。 やはりこの程度では、安全性を確保することは出来ないのですね。まあ、あくまでも個人仕様が目的で、絶対に見られては困るものでもないので、いいかなーと考えています。 >BASIC認証を設定しても、同じレンタルサーバーに同居している人には、見られます。 ちなみにこれは何を見られてしまうのでしょうか?IDとPassでしょうか?Passを暗号化していても問題ありますでしょうか?あとご存知でしたら教えていただきたいのですが、BASIC認証で使用できる暗号化したPassを生成するフリーソフトですとか、設置型のCGIなどはありませんでしょうか?
- anmochi
- ベストアンサー率65% (1332/2045)
> ちなみにSSLってhttps・・・ってやつでしょうか? いえ~すざっつらいと。 ApacheでSSLの設定をするには、まず証明書の作成を行わなくてはならない。いや、大体のLinuxディストリビューションでは、既に証明書は作成されているのだろうが、名前や組織の名前がね。 証明書の作成からhttpd.confの設定は色んなサイトがあるので参考にされたい。また、httpsに関しては、君の環境をもう少し詳しく説明していただく必要がある。例えば、OSは何か、自宅サーバかホスティングか、などなど。
お礼
anmochiさん度々有難うございます。 なんかとても難しい方向に進んでいっているようで、付いていけるか心配ですが・・・。 >ApacheでSSLの設定をするには、まず証明書の作成を行わなくてはならない。いや、大体のLinuxディストリビューションでは、既に証明書は作成されているのだろうが、名前や組織の名前がね。 証明書ですか、何か証明しないといけないのですね。 >証明書の作成からhttpd.confの設定は 何のことやら・・やばいです、(TT) 私の環境ですが、サーバーはXREAというのを使用しています。OSはXPのMCEです。やはり環境によってSSLと言うものの使用法や設定が違ってくるのでしょうか? 複数サイトを管理していたら大変ですね!
- anmochi
- ベストアンサー率65% (1332/2045)
> いくら.htaccessでパスワードやIDを設定したからといって > 本当に安全なものでしょうか? どんなコンテンツをおくかにもよるが、BASIC認証+SSLを使えば、ある程度は大丈夫だ。もちろんカーネルやApacheのパッチは提供されたらすぐ適用しておこう。 > .htaccess以下のディレクトリに置いた物には、 > 全て認証が必要となるらしいのですが? .htaccessを置く事で自動的に認証が発生するわけではない。BASIC認証などの設定を行わなくてはならない。 一応、ディレクトリを分けても、何個ファイルを置いても、必ずディレクトリアクセス権の支配下に置かれる(理論上)ので、それは心配しなくて良いだろう。もしその機能に不具合があるのなら、今までに発見されているはずだ。 気をつけなければならないのは、HTTPを使う場合、BASIC認証の為のユーザ名、パスワードも、コンテンツ自体も全て暗号化も何も無くネットワーク上を流れる。SSLの設定は必須だ。
お礼
anmochiさん有難うございます。 >どんなコンテンツをおくかにもよるが、BASIC認証+SSLを使えば、ある程度は大丈夫だ。 SSLですか・・・?これは一体何のことでしょうか?これが無いとやはり危ないのでしょうか? >気をつけなければならないのは、HTTPを使う場合、BASIC認証の為のユーザ名、パスワードも、コンテンツ自体も全て暗号化も何も無くネットワーク上を流れる。SSLの設定は必須だ。 SSLは必須ですか・・・、また難題が増えてしまいました(TT)ちなみにSSLってhttps・・・ってやつでしょうか?
- suzukikun
- ベストアンサー率28% (372/1325)
.htaccessということはWebサーバにApacheを使うと言うことですね? で、何事にも本当に安全と言うことはありません。特にBasic認証であればアクセス権とか、どこかに不備があればのぞけてしまいます。自分でサーバーをたてるのであればその辺をしっかりチェック、レンタルサーバーであれば業者にチェックをしてもらってください。 そのことを前提にすればファイルがいくつあっても(ページという単位では数えないと思いますが)大丈夫です。 設定の仕方などは以下のサイトを参考にしてみてください。
お礼
suzukikunさん、早速のご解答ありがとうございます。 私は自宅で運営していないので、レンタルサーバーになります。やはりサーバーに確認した方がよいのでしょうか? >そのことを前提にすればファイルがいくつあっても 設置ファイル数には制限が無いのですね?安心しました。
関連するQ&A
- htaccessを導入したいのですが…
サーバーのディレクトリAにhtaccessを設置したとします。 そのAの中にはファイルF1、ファイルF2も設置します。 htaccessの目的はパスワード制限をかけたいからですが、ここで質問です。 一度パスワード認証でF2にアクセスしたら、F1とかF3にページ移動する際にも、逐一パスワード認証が必要なのでしょうか?それとも、認証されたらAの中のファイルは認証無しで自由にアクセスできるのでしょうか? 銀行や証券会社のメンバーページは、一度ログインすれば自由にページ移動できますよね…。 それと同じようなサイトを構築できればいいな…と思い、質問させて頂きました。 ご存知の方いらっしゃいましたら、よろしくお願いいたします。
- ベストアンサー
- ハードウェア・サーバー
- PHPの管理者ページのアクセス制限について
phpで会員制サイトの制作を勉強中です。 pdoでmysqlデータベースに接続しています。 現在、管理者ページの作成を勉強中なのですが、 疑問に思ったことがあります。 IDとパスワードで認証し、 管理者用ページのファイルの内容を表示する仕組みにしたら、 よほど難解なディレクトリ、phpファイル名、ID、パスワードにしないと 認証が通ってしまいそうな気がします。 調べてみると、参考書には管理者ページのパスを .htaccessで特定のIPアドレスにのみアクセス許可を与えるように記述されていました。 管理者用ページのphpファイルへは 難解なディレクトリ、phpファイル名、ID、パスワードにした上で 特定のIPアドレスのみアクセスできるように.htaccessで設定した方が良いでしょうか? そこまで気負う必要はないのでしょうか? 一般的に管理者用ページの認証が どのように作られているか気になります。 ご回答よろしくお願いします。
- ベストアンサー
- PHP
- 数日前からずっとHPの一部分をパスワード認証式にしたくて.htacce
数日前からずっとHPの一部分をパスワード認証式にしたくて.htaccessを作り、 FTTPでサイトにパスワード付けるようのサブディレクトリを作って その中に.htaccessと.htpasswdをいれてるのですが、 401でパスワードを認証してくれません。 西院ネットを使用させて頂いてるのでその.htaccessの事を書いているページを 見ながら記載したのですがうまくいきません .htaccessの内容は AuthUserFile /usr/home/サイト/public_html/サブディレクトリ/.htpasswd AuthName "Please enter your ID and password" AuthType Basic require valid-user .htpasswdの方は ID:暗号化したパスワード 設置方法は public_html | |_設置サブディレクトリ |.htaccess .htpasswd (置きたいページ) のように置いてるのですが。 これじゃだめなのでしょうか?? 記載に使用したソフトはTeraPadとWindowsのメモ帳です。 FTTPにはアスキーで上げました。属性604に変更(変更してないのも試してみました) すべて401になるのです。数日何回も試したり@pagesさんで試したりしたのですが どれも401になります。 暗号化したパスワードは暗号化する前のパスワードをいれればいいのですよね?? 本当にわからなくなってしまったので、宜しくお願い致します。
- ベストアンサー
- PHP
- .htaccessで階層より上まで制限が掛かるのはなぜ?
ホームページ内の、あるディレクトリにパスワード制限を掛けています。 .htaccessに ----- AuthUserFile /home/sites/ディレクトリへのパス AuthGroupFile /dev/null AuthName "認証" AuthType Basic require valid-user <Files ~ "^.(htpasswd|htaccess)$"> deny from all </Files> ----- と記述し、htpasswdにパスワードを記述しています。 その該当ページに入るときは、ちゃんと認証の小窓が出てきて、 IDとパスワードを入力しないと見れないようになっていますが、 問題は階層上のTOPページにアクセスしても、その小窓が出てくるようになった事です。 他の同階層のディレクトリにアクセスしても小窓は出ません。 小窓自体はIDとパスワード入れなくても「キャンセル」をクリックする事で見れます。 これはどうなっているのでしょうか? パスが間違っているのでしょうか?
- 締切済み
- HTML
- BASIC認証を複数設定するには?
BASIC認証を一旦認証して入ったディレクトリ内のさらに下部ディレクトリにも設定したいのです。.htaccessファイルは設置できたのですがパスワードの設定はどこで設定すれば良いのでしょうか? あるいはこのような複数設定はできませんか。どなたか教えてください。
- ベストアンサー
- その他(ソフトウェア)
- ホームページで、
ホームページで、 「アクセス制限つきの ページ」を作ろうとしています。 .htaccessというファイルをつくり、 「/httpdocs/passward-lock」というフォルダにファイルをおきました。 htmlファイルも、同じフォルダ内に作りました。 準備を整えて、HTMLファイルをIEから開いたら、 IDとパスワードを聞かれました。 →ということは[.htaccess]とhtmlファイルの設定までは大丈夫なのではないかと 思います。 ※password.datというファイルも同じフォルダに入れてあります。 このパスワードファイルはサンプルとして http://allabout.co.jp/gm/gc/23780/4/にあるものを使用しました。 .htaccessファイルの内容は以下です。 AuthType Basic AuthName "Input your ID and Password." AuthUserFile /httpdocs/passward-lock/passwd.dat require valid-user とくに問題なくできても良さそうなのですが、 パスワードを何回入力しても、まったくページに入れません。 どこかが違っているようです。 制限つきのページを作るのが初めてなので、 とても初歩的なところでつまずいているのかもしれません。 どなたか、ご教授をお願いします。 ※制限をかけずにHTMLファイルを見たら、 ちゃんとページはできたましたので、 HTMLファイルは大丈夫です。
- 締切済み
- その他(インターネット接続・通信)
- パスワード制限について
今度ホームページにパスワード制限をしたメンバーページを作ろうと思います。 そこでクッキーによるパスワード制限と.htaccess(BASIC認証)によるパスワード制限では、どちらが良いと思いますか? メンバーページでは、メール送信や掲示板の書き込みなどをしたいです。つまり出会い系みたいな感じです。それなのでメンバー毎のIDを得たいのです。 BASIC認証ではパスワードの認証は出来るのですが、ユーザー毎のIDを得ることは不可能?だと思いますし、クッキーだとセキュリティ上問題がありそうだし。パラメーターで各ページ事、.cgi?~で送るのも問題だし。 実際出会い系などで用いられるパスワード制限はどのようにやっているのでしょうか?出会い系ではなくとも、そのようなホームページを持っている方はどのようにしていますか?自分としては、パスワードはBASIC認証にして、IDはクッキーから得ようと考えています。 セキュリティーなどの件での投稿も待ってます。
- ベストアンサー
- Perl
- 「CGI+Flash」の「BASIC認証パスワード制限システム(01)
「CGI+Flash」の「BASIC認証パスワード制限システム(01)」に関して質問です。 配布CGIをダウンロード後、設定などを行っていた時の事なのですが、 「member」のフォルダ内に「.htaccess」のファイルが実在していませんでした。 あと、「.htaccess」のファイルだけで完成の所でした。 「.htaccess」のファイルだけは、自分で作成しないといけないのでしょうか? もし、自分で作成しないといけないなら、書き方などを教えて頂けませんでしょうか? また、配布されているのであれば、教えて頂けませんでしょうか? 書き方やどのように「BASIC認証パスワード制限システム(01)」のCGIと繋げれば良いのかが分かりません。 具体的に教えて頂ければ嬉しいです...
- 締切済み
- CGI
- .htaccess について
質問させていただきます。 ロリポップで「.htaccess」までは作れたのですが、「.htaccess」を設置ディレクトリのファイルが作れません。 この言い方でよいのか、不安なのですが…。 具体的に、例えば「.htaccess」設置ディレクトリを「abc/」としました。 すると、アクセス制限をかけたいファイルの名前は「abc/top.html」になるんだと理解しています。 そこで、topページを作ってファイル名を書いて保存するとき、「abc/top.html」と書こうとすると、「上記のファイル名は無効です」とエラーがでます。たしかにファイル名に「/」は使えないな、とわかっているのですが、だったらどうやって「.htaccess設置ディレクトリ」の「abc/」が入ったファイルを作れば良いのでしょうか? 私が書かなくても勝手に「abc/」がつくのかな?と思い、ファイル名を「top.html」だけにしてみても、やっぱり「abc/top.html」にはなっていませんでした…。 どうすればよいのか、さっぱりわかりません。 わかりにくい質問かと思いますが、お答えよろしくお願いいたします。
- ベストアンサー
- その他(インターネット・Webサービス)
- htaccessによる認証について
お世話になります。 現在、グループで発表したスピーチの内容を動画ファイルとして保存し、 それをサーバー上に置いてグループメンバーのみで閲覧できるように htaccessによる認証を行おうと思います。 認証が必要なディレクトリに.htaccessと.htpasswdを置き、ユーザー名 とパスワードを入力しないとページが見られないように設定しました。 しかし、そのディレクトリからさらに下位のディレクトリ(=この中に 動画ファイルを置いています。)へ進もうとすると再び認証を求められます。 (再度ユーザー名とパスワードを入れれば、動画再生が始まります。) htaccessで一旦認証が通れば、ブラウザを閉じない限り下位ディレクトリに 対しても認証が有効だと思っていたのですが、再び下位ディレクトリで 認証を求められるのは何か設定等の影響によるものなのでしょうか。 情報不足等で補足が必要であれば、補足要求をお願いします。 よろしくお願いいたします。
- 締切済み
- ネットワーク
お礼
anmochiさん感謝で~す。 なるほど私のやるべきことですか! ちょっと楽しくなってきました。 >1.XREAにおけるHTTPSの利用方法を調べる。 2.BASIC認証をかけたいディレクトリに対して、HTTP通信を拒否する設定にする。(HTTPとHTTPSで同一ディレクトリを使う場合) よ~し、がんばって調べながらやってみたいと思います。