SQL認証とBASIC認証の選択についてのアドバイスをお願いします

このQ&Aのポイント
  • SQL認証にするべきかBASIC認証にするべきか、もしくは他の方法があるのか、わからず困っています。会員数数百人を予定しており、会員専用ページへのアクセス制限をかけたいですが、コストを抑えたいと考えています。
  • BASIC認証とはIDとパスワードを発行し、会員専用ページへのアクセス制限をかける方法です。しかし、BASIC認証だと値段が高いため、安い方法があるのかどうか気になっています。また、一度退会した人がURLから入ってこれる可能性があるのかも不安です。
  • 上記の問題を解決するために、SQL認証や他の方法について調査しましたが、具体的な解答を得ることができませんでした。レンタルサーバーのアクセス制限機能や、業者「CGIの匠」の提供する認証サービスについても調べましたが、どちらが最適か判断がつかず困っています。ご存知の方がいましたら、アドバイスをお願いします。
回答を見る
  • ベストアンサー
  • 困ってます

SQL認証 BASIC認証

SQL認証にするべきか BASIC認証にするべきか、もしくは他の方法があるのか、わからず困っています。 既に出ている似たようなQ&Aは「ビジネス・キャリア」の「インターネットビジネス」と「コンピューター(技術者向け)」の「運用・管理」で【アクセス制御】【アクセス制限】【会員サイト】の検索ですべて読んでみました。 有料会員サイトを作成しています。サイトをなんとか作れるくらいのレベルでパソコンのレベルはほとんど素人です。 ■会員数数百人を予定しており、毎月の会員費を銀行振込みでお支払いしていただきます。 ■会員ごとにIDとパスワードを発行し、会員専用ページにはそのID・パスがないと入れない。 ■パスワードの発行、削除等は管理者がウェブ上で簡単に管理したい。 アクセス制御を設置してくる業者を調べたところ「CGIの匠」http://www.ortecweb.com/ こちらの業者さまから SQL認証 84000円 BASIC認証 5250円 の回答を得ました。 極力安い費用で済ませたいので、BASIC認証や他レンタルサーバーに付いているアクセス制限機能で問題ないようでしたらそうしたいと思っています。 Q1.BASIC認証だと何か不都合はございますか? 値段がここまで違うと不安になってきます。 Q2.BASIC認証でも、会員専用のすべてのページにアクセス制限がかかりますか?一度退会した人がURLから入ってこれることはありませんか? 教えてgooでの似たようなQ&Aの一部です。 http://oshiete1.goo.ne.jp/kotaeru.php3?q=1292153 Q3.また、レンタルサーバーで上記条件のアクセス制限ができる業者をご存知でしたら教えてください。 どうぞアドバイスしていただければと思います。 お願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
  • yambejp
  • ベストアンサー率51% (3827/7415)
回答No.2

>BASIC認証にする場合にはSSLで運用するのが >基本。という認識でよろしいでしょうか? 必ずしもBASIC認証だからといってSSLにする必要は ありませんが、有料コンテンツを保護するのであれば SSLなどで暗号化をしていない限り流出の恐れがあると いうことです。せっかくの有料コンテンツサイトであれば 自己保身のためにもSSLが基本になるのではないでしょうか? まぁ費用対効果の観点からそこまで手間をかけるより 多少の不正アクセスには目をつむるという割りきった 考え方もあるので、一概にはなにが正解とはいえません。 >もしくは会員の住所や氏名などの個人情報が他人に >覗かれてしまうということでしょうか? まぁ会員本人の個人情報をWEBサイトに掲載していない 限り、そのての流出はあまり考えられませんので 極端にナーバスになることもないかと。 >「メンテナンスがめんどくさい」についてですが、 >どのようなメンテナンスを行うのか、どれくらいの >頻度で行うのか、 メンテナンスの問題は基本的に.htaccessという ファイルでおこないます。パスワードの作成に htpasswdを使います。そのアタリはご自身でみっちり お調べになったほうがよろしいでしょう。 パスワードとユーザー情報のはいった専用のファイルを 管理することになるので、複数のユーザー情報を 一ファイルで管理したりしているとなにかとめんどうが おおくなります。 その点SQLで管理すれば、1ユーザー情報は1レコード で管理できますので、グループ情報をかえたりするなど 運営方法を変えようとした場合でもそれほど違和感なく 移行することができます。 10~20件程度の小規模な場合はともかく、数百件と なると徐々にSQLが恋しくなると思います。 またBASIC認証ですとユーザーごとのアクセス情報など はログファイルを解析することになり煩雑ですが SQL認証にしておけば、最初からデータベースで管理 できるのでメンテナンス性があがります。 会員情報自体もSQLで管理できるなら圧倒的にそのほうが 楽になります。 もちろん認証はBASICでユーザー情報管理はSQLでおこなう こともできないことはないですが・・・

nakatani8
質問者

お礼

ご丁寧にお答えいただきまして誠にありがとうございます。 有料コンテンツが多少漏れることはそれほど問題ではありませんのでSSLはなしにしようと思います。 多少初期料金はかかってしまいますが、SQL認証にしたほうがどうやらいいという結論になりました。

その他の回答 (1)

  • yambejp
  • ベストアンサー率51% (3827/7415)
回答No.1

前提としてSSLで運用されるのですよね? そうでなければBASIC認証は有料サイトのセキュリティ ポリシーとしては不適格です。 まぁSQL認証は仕組的にはBASIC認証なので、SQL認証 にしたからといって違いはないですが・・・・。 Digest認証がよいとも聞きますが、わたしの知識の 範疇にないのでお勧めする立場にはありません。 Q1.不都合 メンテナンスがめんどくさいというところでしょうか。 Q2.有効性 アクセス制限はフォルダ単位でかかります。ネストする ので親フォルダにかけてあれば、サブフォルダまで 有効です メンテナンスさえきちんとしていれば退会者をはじく ことは可能です。

nakatani8
質問者

お礼

アドバイスいただきまして大変ありがとうございます。 SSLとは?で調べてみました。よくクレジットカード番号を打ち込む際についてあるベリサインや日本ジオトラスト社などの暗号通信。というイメージしかないのですが、BASIC認証にする場合にはSSLで運用するのが基本。という認識でよろしいでしょうか? 「セキュリティポリシーとしては不適格」についてですが、SSLで運用しない場合、暗号化しておかないと場合によってはこちらが提供する会員のための有料情報が他人に覗かれてしまい、盗聴や改ざんされてしまう危険性があるといことでしょうか?もしくは会員の住所や氏名などの個人情報が他人に覗かれてしまうということでしょうか?見当違いの質問でしたらすみません。 「メンテナンスがめんどくさい」についてですが、どのようなメンテナンスを行うのか、どれくらいの頻度で行うのか、もしお聞かせ願えるのでしたらありがたいです。 こちら(サイト管理人)で会員入会者を毎日登録設定、月末にまとめて退会者を登録解除を行うつもりです。そういったメンテナンスではなく、よくレンタルサーバーなどが定期的に行うシステムがうまく起動するようにメンテナンスする。という意味でしょうか? よろしくお願いいたします。

関連するQ&A

  • ベーシック認証でログインがうまくできません

    特定画面へのアクセス制御を設定しました。 CGIの起動チェックはOKで ID登録、パスワードの発行(メールで届く方式)までは上手くいったのですが 引き続き発行されたパスワードを使い ベーシック認証画面からログインしようとすると エラーになります。 パスワードファイルの設定あたりが 上手くいっていないと思われますが どこをどうすればよろしいでしょうか。 当方、CGIには、あまり詳しくありませんので 分かり易く教えていただけませんでしょうか。 宜しくお願いします。

    • ベストアンサー
    • CGI
  • 認証したあと、認証できれば今とは違うウィンドウで開く方法

    自分で調べてみたのですが分からないので、質問させていただきます。 会員専用ページにいくために 認証ページにパスワードを入れて認証ができたら 会員専用のページが別ウィンドウで開くページをつくりたいのですが、 別ウィンドウで開く方法が分かりません。 もしご存知の方がいらっしゃしましたら教えていただけますでしょうか?よろしくお願いいたします。

  • JavaScriptでパスワード認証

    質問です。 同人サイトをやっているのですが、アクセス制限をしたいのです。 それで、調べたら簡単にできるとあった、「JavaScriptでパスワード認証」ですが、これは「基本認証でアクセス制限をかける方法」みたいに、検索エンジンにひっかかったりしない完璧なものなんでしょうか…? わたしが今借りているのはジオシティーズなんですが、一番高い有料にしても「基本認証でアクセス制限をかける方法」で使う「 .htaccess 」が使えないので困っています。 サイトの性質上、一般の人には見られたくないので、METAタグだけではダメらしいので、アクセス制限をかけたいのです。 でも、ジオでは使えないのと、私自身がパソコンに明るくないので大変困っています。 お手数ですが、お答えよろしくおねがします!

  • 会員制のサイトを構築したい

    会員数2,000人規模の会員制サイトを構築することになりました。 ■会員ごとにIDとパスワードを発行し、会員専用ページにはそのID・パスがないと入れない。 ■パスワードの発行、削除等は管理者がウェブ上で簡単に管理したい。 とゆうのがクライアントの希望です。 今までこの規模の案件を受けたことがなく、Basic認証で事足りていたのですが、あまりの規模の大きさにどうしたらよいのやら分かりません。 うちはデザイン事務所で、ホームページの制作も請け負ってるとゆう程度なのでサーバやプログラムには正直強くありません。 この部分は専門の業者の方がいて、そちらにお願いしたほうがいいのか、basic認証のようななにか方法があるのか、アドバイスいただけるでしょうか、よろしくおねがいいたします。

  • パスワード認証について

    はじめまして!こんにちわ! WEB上でのセキュリティ認証の事でお聞きしたいことがあります。 セキュリティー認証でたとえばIDとパスワードで一つの会員ページを閲覧する事は出来るのですが、IDとパスワードごとにそれぞれの管理ページに認証する方法が解りません。 どういった事をすれば可能になるのでしょうか? よろしくお願いします。

  • PHP・セッションでのユーザー認証サイトでDL用ファイルへのアクセスも同時に制限するには

    最近PHPを勉強している初心者です。 会員制サイトの構築を考えています。 基本的な仕組みは ・会員はHTML上のフォーム入力によりログイン ・PHPから、MySQLに保存された会員データベースを呼び出して認証 ・セッションを用いて会員用ページにアクセス のようにしようと思います。 しかし、この仕組みではページへのアクセス制限しかできません。 具体的には会員用ページにのPDF文書を置きたいのですが、 ログインせずともURL直接アクセスでDLできてしまいます。 DL用ファイルへのアクセスも含めて制限するのであればBasic認証などが考えられます。 ですがユーザーに2度もパスワードを入力させるわけにはいきません。 パスワードの管理も2重になり、煩雑です。 このような場合、どうやってアクセス制限するのが良いのでしょう。 要点は ・DL用ファイルを含むすべての会員用コンテンツにアクセス制限をかける ・認証は1回のみ(できればフォームで) ということです。 類似の質問には目を通したつもりですが、解決できませんでした。 よろしくお願い致します。

  • 基本認証の信頼性

    或る会員制のサイトをクライアントに利用して頂くのに、 特定のPCでのみ利用して頂くようにしたいのですが、 最初に、運営者である私がそのPCがある場所へ 行き、そのPCで、基本認証のパスワードを私が入力 して保存すれば、PC使用者は、パスワードが 分からないので、他のPCでの利用を制限させることが 可能かと思うのですが・・・ 果たして、PCの使用者が、すでに保存してある その「基本認証のパスワード」を見破ることは 可能でしょうか??

  • IISの基本認証で特定のファイルに制限をかけたい

    Windows2000server、IIS 5.0を使用しています。 現在ホームページを制作中です。 一般向けページと会員向けページがあります。 トップページには一般向けページを設定しています。(index.html) そこから会員向けページへの入り口(リンク)を設けています。 会員向けページへ入る際はパスワードを入力するようにアクセス制限をかけたいと考えています。 IISで基本認証の設定をし、パスワードを入力する画面が表示されるようにしました。 しかし、パスワードを入力しログオンすると、一般向けページ(トップページ)が 表示されてしまします。 会員向けページへ入る際にパスワードを求めるにはどのように設定すればよいのでしょうか? また、IISの基本認証ではディレクトリ(フォルダ)以外に特定のファイルに(例:会員向トップページ) アクセス制限をかけることはできないのでしょうか? どなたか詳しいかたご教授下さい。

  • BASIC認証について

    どのカテゴリーで質問していいのかわからずここまで来ました・・・ WEBページで会員専用ページなどでポップアップでユーザ名・パスワードを入力する認証方法(BASIC認証)ですが、これを英語表現したいのですが、どのような言葉になるのでしょうか? 海外の企業に問合せを行うのですが、上記認証の英語表現がわかりません。。。どんな言葉になるのでしょうか。

  • SQL 2000 サーバから2005へのアップグレード作業を行っている

    SQL 2000 サーバから2005へのアップグレード作業を行っているのですがWindows認証を求められました。 管理者権限でsa とパスワードを入力してもより強力なパスワードを設定するよう求められ、複雑なパスワード を設定するも同じメッセージが表示されます。 ためしに、SQL認証にしてみましたが同じでした。 どなたか解決方法をご存知の方、教えていただけませんでしょうか。 よろしくお願いします。