ウェブサイトをアクセス制限したいのですが、Basic認証+IPアドレス制限+443(https)利用以上にセキュリティを高めたいとすると、どういう方法があるでしょうか?使っているウェブサーバーアプリケーションはapacheです。

回答の条件
  • 1人2回まで
  • 登録:2007/08/31 01:37:09
  • 終了:2007/09/07 01:40:03

回答(4件)

id:toohigh No.1

toohigh回答回数291ベストアンサー獲得回数372007/08/31 01:56:29

ポイント23pt
  • クライアント証明書を必須にする

http://safe-linux.homeip.net/web/linux-ssl_web-05.html

アプリ側に手を加えない範囲だと、これくらいしかない気がします。

  • 上位のアプリ側で二重ログイン禁止などのログイン制限を行う

ちょっと性格が違う話なので、参考程度に・・。

  • SSLのポート番号を標準の 443 以外に変更する
  • 利用するサイトのディレクトリ名や構造を複雑にする

これまた性格の違う話ですね。ポートスキャン的なものを避ける程度の効果はあるかもしれません。

id:KUROX No.2

KUROX回答回数3542ベストアンサー獲得回数1402007/08/31 02:01:01

ポイント23pt

http://alk.dip.jp/apache2-default/sv290.html

SSLのクライアント認証も適応済みですか?

id:minkpa No.3

minkpa回答回数4178ベストアンサー獲得回数552007/08/31 05:06:30

ポイント22pt

SSLクライアント認証が一番手っ取り早いと思います。

id:Yota No.4

Yota回答回数453ベストアンサー獲得回数282007/08/31 08:45:55

ポイント22pt

IPアドレス制限やクライアント認証は、クライアントがいつも同じパソコン(固定IPアドレス)でアクセスしてくるという前提なら有効です。

例えば、銀行のイー・トレードなどではそういう前提で作れないため、さまざまな工夫をしています。

一番基本的なのは、定期的(1ヶ月とか)にパスワードを強制的に変更させる仕組みを作る。この場合はユーザがパスワードをそのつど決めるわけですが、あらかじめパスワード変更のルールを秘密に取り決めておくなども有効だと思います。月が替わるたびに、循環するルールを作るなどです。

それと、くれぐれもサーバー側にパスワードを平文で保存するようなことはしないでください。必ず、md5などのハッシュ関数で元のパスワードが容易に推測できないようにしておくということです。

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません