http://safe-linux.homeip.net/web/linux-ssl_web-05.html
アプリ側に手を加えない範囲だと、これくらいしかない気がします。
ちょっと性格が違う話なので、参考程度に・・。
これまた性格の違う話ですね。ポートスキャン的なものを避ける程度の効果はあるかもしれません。
IPアドレス制限やクライアント認証は、クライアントがいつも同じパソコン(固定IPアドレス)でアクセスしてくるという前提なら有効です。
例えば、銀行のイー・トレードなどではそういう前提で作れないため、さまざまな工夫をしています。
一番基本的なのは、定期的(1ヶ月とか)にパスワードを強制的に変更させる仕組みを作る。この場合はユーザがパスワードをそのつど決めるわけですが、あらかじめパスワード変更のルールを秘密に取り決めておくなども有効だと思います。月が替わるたびに、循環するルールを作るなどです。
それと、くれぐれもサーバー側にパスワードを平文で保存するようなことはしないでください。必ず、md5などのハッシュ関数で元のパスワードが容易に推測できないようにしておくということです。
コメント(0件)