人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

htaccessによる基本認証は、セキュリティの観点から見て、脆弱なのでしょうか?

「基本」というくらいですから、弱いのかなと。
「応用」のような「基本」の発展版もあるのでしょうか?

●質問者: dingding
●カテゴリ:インターネット ウェブ制作
✍キーワード:セキュリティ 脆弱 認証
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● yocchan731
●27ポイント

BASIC認証は平文で流れるので,

盗聴されるとパスワードがばれるという問題があります.

http://www.studyinghttp.net/auth

それを解決するためにDigest認証があります.

これはMD5というハッシュ関数を用いることで,

盗み見られてもパスワードが推測できないようにしています.

◎質問者からの返答

ありがとうございます。


2 ● いわわ
●27ポイント

BASIC認証は、基本的に盗聴が可能です。

パスワードをまんま渡すので、途中の経路に悪い人がいれば

盗み見て使われてしまうこともあります。


それを避けるために考案されたDigests認証は

応用といえるものになります。

パスワードをそれなりに暗号化(MD5方式)するので

盗聴をされてもすぐにはパスワードを解読できません。

http://ja.wikipedia.org/wiki/Digest%E8%AA%8D%E8%A8%BC

http://otndnld.oracle.co.jp/document/products/as10g/1013/doc_cd/...


とはいっても携帯電話のブラウザで使えなかったり

サーバが古いと対応していなかったりといった問題があり

使われることはほとんどありません。

◎質問者からの返答

ありがとうございます。


3 ● yoshi_kasa
●26ポイント

.htaccess による認証は(Base64方式による符号化があるものの)平文同様でネットワーク上に流れるため安全性に問題があると言われる場合があります。

ただしセキュリティが必要とされる目的によっては十分だということも、ままあると思います。(たとえば職場のサークルの掲示板にプログラムによる自動書き込みが多発して掲示板として使えないで困る、という場合なんかはベーシック認証で十分でしょう)

Basicに対する応用、というわけでも無いですが、SSLも用いればセキュリティは高まります。

http://www.google.co.jp/search?hl=ja&q=htaccess+OR+%28SSL+ht...

◎質問者からの返答

ありがとうございます。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ