- ベストアンサー
SQL認証とBASIC認証の選択についてのアドバイスをお願いします
- SQL認証にするべきかBASIC認証にするべきか、もしくは他の方法があるのか、わからず困っています。会員数数百人を予定しており、会員専用ページへのアクセス制限をかけたいですが、コストを抑えたいと考えています。
- BASIC認証とはIDとパスワードを発行し、会員専用ページへのアクセス制限をかける方法です。しかし、BASIC認証だと値段が高いため、安い方法があるのかどうか気になっています。また、一度退会した人がURLから入ってこれる可能性があるのかも不安です。
- 上記の問題を解決するために、SQL認証や他の方法について調査しましたが、具体的な解答を得ることができませんでした。レンタルサーバーのアクセス制限機能や、業者「CGIの匠」の提供する認証サービスについても調べましたが、どちらが最適か判断がつかず困っています。ご存知の方がいましたら、アドバイスをお願いします。
- nakatani8
- お礼率100% (3/3)
- その他(ITシステム運用・管理)
- 回答数2
- ありがとう数5
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
>BASIC認証にする場合にはSSLで運用するのが >基本。という認識でよろしいでしょうか? 必ずしもBASIC認証だからといってSSLにする必要は ありませんが、有料コンテンツを保護するのであれば SSLなどで暗号化をしていない限り流出の恐れがあると いうことです。せっかくの有料コンテンツサイトであれば 自己保身のためにもSSLが基本になるのではないでしょうか? まぁ費用対効果の観点からそこまで手間をかけるより 多少の不正アクセスには目をつむるという割りきった 考え方もあるので、一概にはなにが正解とはいえません。 >もしくは会員の住所や氏名などの個人情報が他人に >覗かれてしまうということでしょうか? まぁ会員本人の個人情報をWEBサイトに掲載していない 限り、そのての流出はあまり考えられませんので 極端にナーバスになることもないかと。 >「メンテナンスがめんどくさい」についてですが、 >どのようなメンテナンスを行うのか、どれくらいの >頻度で行うのか、 メンテナンスの問題は基本的に.htaccessという ファイルでおこないます。パスワードの作成に htpasswdを使います。そのアタリはご自身でみっちり お調べになったほうがよろしいでしょう。 パスワードとユーザー情報のはいった専用のファイルを 管理することになるので、複数のユーザー情報を 一ファイルで管理したりしているとなにかとめんどうが おおくなります。 その点SQLで管理すれば、1ユーザー情報は1レコード で管理できますので、グループ情報をかえたりするなど 運営方法を変えようとした場合でもそれほど違和感なく 移行することができます。 10~20件程度の小規模な場合はともかく、数百件と なると徐々にSQLが恋しくなると思います。 またBASIC認証ですとユーザーごとのアクセス情報など はログファイルを解析することになり煩雑ですが SQL認証にしておけば、最初からデータベースで管理 できるのでメンテナンス性があがります。 会員情報自体もSQLで管理できるなら圧倒的にそのほうが 楽になります。 もちろん認証はBASICでユーザー情報管理はSQLでおこなう こともできないことはないですが・・・
その他の回答 (1)
- yambejp
- ベストアンサー率51% (3827/7415)
前提としてSSLで運用されるのですよね? そうでなければBASIC認証は有料サイトのセキュリティ ポリシーとしては不適格です。 まぁSQL認証は仕組的にはBASIC認証なので、SQL認証 にしたからといって違いはないですが・・・・。 Digest認証がよいとも聞きますが、わたしの知識の 範疇にないのでお勧めする立場にはありません。 Q1.不都合 メンテナンスがめんどくさいというところでしょうか。 Q2.有効性 アクセス制限はフォルダ単位でかかります。ネストする ので親フォルダにかけてあれば、サブフォルダまで 有効です メンテナンスさえきちんとしていれば退会者をはじく ことは可能です。
お礼
アドバイスいただきまして大変ありがとうございます。 SSLとは?で調べてみました。よくクレジットカード番号を打ち込む際についてあるベリサインや日本ジオトラスト社などの暗号通信。というイメージしかないのですが、BASIC認証にする場合にはSSLで運用するのが基本。という認識でよろしいでしょうか? 「セキュリティポリシーとしては不適格」についてですが、SSLで運用しない場合、暗号化しておかないと場合によってはこちらが提供する会員のための有料情報が他人に覗かれてしまい、盗聴や改ざんされてしまう危険性があるといことでしょうか?もしくは会員の住所や氏名などの個人情報が他人に覗かれてしまうということでしょうか?見当違いの質問でしたらすみません。 「メンテナンスがめんどくさい」についてですが、どのようなメンテナンスを行うのか、どれくらいの頻度で行うのか、もしお聞かせ願えるのでしたらありがたいです。 こちら(サイト管理人)で会員入会者を毎日登録設定、月末にまとめて退会者を登録解除を行うつもりです。そういったメンテナンスではなく、よくレンタルサーバーなどが定期的に行うシステムがうまく起動するようにメンテナンスする。という意味でしょうか? よろしくお願いいたします。
お礼
ご丁寧にお答えいただきまして誠にありがとうございます。 有料コンテンツが多少漏れることはそれほど問題ではありませんのでSSLはなしにしようと思います。 多少初期料金はかかってしまいますが、SQL認証にしたほうがどうやらいいという結論になりました。