htaccessによる基本認証は、セキュリティの観点から見て、脆弱なのでしょうか?


「基本」というくらいですから、弱いのかなと。
「応用」のような「基本」の発展版もあるのでしょうか?

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2007/03/15 19:40:03
  • 終了:2007/03/16 08:48:01

回答(3件)

id:yocchan731 No.1

yocchan731回答回数119ベストアンサー獲得回数142007/03/15 20:00:59

ポイント27pt

BASIC認証は平文で流れるので,

盗聴されるとパスワードがばれるという問題があります.

http://www.studyinghttp.net/auth

それを解決するためにDigest認証があります.

これはMD5というハッシュ関数を用いることで,

盗み見られてもパスワードが推測できないようにしています.

id:dingding

ありがとうございます。

2007/03/16 08:47:28
id:iww No.2

いわわ回答回数101ベストアンサー獲得回数102007/03/15 21:19:11

ポイント27pt

BASIC認証は、基本的に盗聴が可能です。

パスワードをまんま渡すので、途中の経路に悪い人がいれば

盗み見て使われてしまうこともあります。


それを避けるために考案されたDigests認証は

応用といえるものになります。

パスワードをそれなりに暗号化(MD5方式)するので

盗聴をされてもすぐにはパスワードを解読できません。

http://ja.wikipedia.org/wiki/Digest%E8%AA%8D%E8%A8%BC

http://otndnld.oracle.co.jp/document/products/as10g/1013/doc_cd/...


とはいっても携帯電話のブラウザで使えなかったり

サーバが古いと対応していなかったりといった問題があり

使われることはほとんどありません。

id:dingding

ありがとうございます。

2007/03/16 08:47:31
id:yoshi_kasa No.3

yoshi_kasa回答回数12ベストアンサー獲得回数12007/03/16 01:09:41

ポイント26pt

.htaccess による認証は(Base64方式による符号化があるものの)平文同様でネットワーク上に流れるため安全性に問題があると言われる場合があります。

ただしセキュリティが必要とされる目的によっては十分だということも、ままあると思います。(たとえば職場のサークルの掲示板にプログラムによる自動書き込みが多発して掲示板として使えないで困る、という場合なんかはベーシック認証で十分でしょう)

Basicに対する応用、というわけでも無いですが、SSLも用いればセキュリティは高まります。

http://www.google.co.jp/search?hl=ja&q=htaccess+OR+%28SSL+ht...

id:dingding

ありがとうございます。

2007/03/16 08:47:36

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません