ウェブサイトをアクセス制限したいのですが、Basic認証＋IPアドレス制限+443（https)利用以上にセキュリティを高めたいとすると、どういう方法があるでしょうか？使っているウェブサーバーアプリケーションはapacheです。

Question

22

90pt

回答の条件

※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

コメントはまだありません

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません

toohigh · Answer 1 · 2007-08-31T01:56:29+09:00

アプリ側に手を加えない範囲だと、これくらいしかない気がします。

ちょっと性格が違う話なので、参考程度に・・。

これまた性格の違う話ですね。ポートスキャン的なものを避ける程度の効果はあるかもしれません。

KUROX · Answer 2 · 2007-08-31T02:01:01+09:00

SSLのクライアント認証も適応済みですか？

minkpa · Answer 3 · 2007-08-31T05:06:30+09:00

SSLクライアント認証が一番手っ取り早いと思います。

Yota · Answer 4 · 2007-08-31T08:45:55+09:00

IPアドレス制限やクライアント認証は、クライアントがいつも同じパソコン（固定IPアドレス）でアクセスしてくるという前提なら有効です。

例えば、銀行のイー・トレードなどではそういう前提で作れないため、さまざまな工夫をしています。

一番基本的なのは、定期的（１ヶ月とか）にパスワードを強制的に変更させる仕組みを作る。この場合はユーザがパスワードをそのつど決めるわけですが、あらかじめパスワード変更のルールを秘密に取り決めておくなども有効だと思います。月が替わるたびに、循環するルールを作るなどです。

それと、くれぐれもサーバー側にパスワードを平文で保存するようなことはしないでください。必ず、md5などのハッシュ関数で元のパスワードが容易に推測できないようにしておくということです。

回答（4件）