- ベストアンサー
なぜ@NiftyはBASIC認証でユーザー認証しているのか?
日本で初めてインターネットを提供開始した@niftyでは会員サイトでのユーザ認証をBASIC認証を使用しています。 Yahoo!やGoogle,goo,infoseekなど大手ポータルサイトなどはBASIC認証ではなくクッキーとセッションIDを使用したユーザ認証を使用しています。 なぜ、最高のセキュリティを保たなければならないISPでもある@Niftyが今でもBASIC認証を使用しているのでしょうか? BASIC認証でのセキュリティは大丈夫なのでしょうか? メリット、デメリットなど教えてください。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
>BASIC認証でのセキュリティは大丈夫なのでしょうか? 確かにBASIC認証を使っていますが、SSLを使っているので問題はないかと思います。 >Yahoo!やGoogle,goo,infoseekなど大手ポータルサイトなどはBASIC認証ではなくクッキーとセッションIDを使用したユーザ認証を使用しています。 クッキーとセションはユーザ認証には関係ありません。認証状態の保持等に利用しているだけです。 何か勘違いしているようですが、通常のフォームを使ったログイン方式でもログイン時にIDとパスワードが平文(場合によっては平文ではないが)で送信されるので部分的にSSLが必要になります。しかし、高いセキュリティを保ちたいならばセションハイジャックされないように認証後も全ての通信でSSLを利用する必要があります。 結局、SSLを利用していなければ、程度は違うにしろどちらも危険なことにかわりはありません。 >最高のセキュリティを保たなければならないISPでもある@Niftyが今でもBASIC認証を使用しているのでしょうか? なぜかNiftyにこだわっているようですが、Niftyに関わらずインターネット上の全てのサービスはセキュアであるべきです。BASIC認証を利用していようがいまいがセキュアであるのなら問題はないのではないでしょうか?
その他の回答 (1)
- qaaq
- ベストアンサー率36% (146/404)
@Niftyのloginって、https://~ になっていませんでしたか? 質問の意図が、 @Niftyの認証の問題なのか、 BASIC認証orクッキーとセッションIDによる認証方法の問題なのか、 BASIC認証そのもののメリット、デメリットなのか、 良くわかりません。 何を知りたいの?
