人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

ウェブサイトをアクセス制限したいのですが、Basic認証+IPアドレス制限+443(https)利用以上にセキュリティを高めたいとすると、どういう方法があるでしょうか?使っているウェブサーバーアプリケーションはapacheです。

●質問者: mrdreams
●カテゴリ:インターネット ウェブ制作
✍キーワード:Apache BASIC認証 HTTPS IPアドレス アクセス
○ 状態 :終了
└ 回答数 : 4/4件

▽最新の回答へ

1 ● toohigh
●23ポイント

http://safe-linux.homeip.net/web/linux-ssl_web-05.html

アプリ側に手を加えない範囲だと、これくらいしかない気がします。

ちょっと性格が違う話なので、参考程度に・・。

これまた性格の違う話ですね。ポートスキャン的なものを避ける程度の効果はあるかもしれません。


2 ● KUROX
●23ポイント

http://alk.dip.jp/apache2-default/sv290.html

SSLのクライアント認証も適応済みですか?


3 ● minkpa
●22ポイント

SSLクライアント認証が一番手っ取り早いと思います。


4 ● Yota
●22ポイント

IPアドレス制限やクライアント認証は、クライアントがいつも同じパソコン(固定IPアドレス)でアクセスしてくるという前提なら有効です。

例えば、銀行のイー・トレードなどではそういう前提で作れないため、さまざまな工夫をしています。

一番基本的なのは、定期的(1ヶ月とか)にパスワードを強制的に変更させる仕組みを作る。この場合はユーザがパスワードをそのつど決めるわけですが、あらかじめパスワード変更のルールを秘密に取り決めておくなども有効だと思います。月が替わるたびに、循環するルールを作るなどです。

それと、くれぐれもサーバー側にパスワードを平文で保存するようなことはしないでください。必ず、md5などのハッシュ関数で元のパスワードが容易に推測できないようにしておくということです。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ