BASIC認証とSSL
2017/10/03
BASIC認証って?
WEBセキュリティの中にBASIC認証というものがあります。
比較的簡単に特定のフォルダなどをパスワードで鍵かけができてしまうため、よく使われるセキュリティです。
WordPressなどは有名なCMSなのでよく攻撃対象として狙われますが、BASIC認証で攻撃を回避するという手段はわりとよく行われている方法です。
ただ、一つ欠点がございまして・・・それが「平文でパスワードをやりとりする」というもの。
実世界で例えるなら、パスワード付きのドアロック(マンションとかについてるやつですね)で4桁の番号を入力するような感じです。
なんかセキュリティ的に良い感じでしょうが、ほらほら・・・見てますよ後ろの人・・・。
入力してるところ、めっちゃ見てる~~~\(ToT)/
という状況では使いづらいものです。
SSLって何?
それに対してSSLというものがあります。
これは「パスワードを暗号化する」事ができます。
誤解を恐れず例えると、指紋認証みたいなやつで、後ろでガン見されていてもへっちゃらな感じです。
(もちろん、例えの話で実際にPCの後ろでパスワード入力見られてるとマズイですよ・・・)
しかし、そんな強固なSSLでも指紋採取して偽造したり、認証の仕組みそのものの脆弱性を突く人もいるのですが。
今のところ「OpenSSLの脆弱性」(そういう安いSSLがあるのです)以外ではあまり脆弱性について聞かないので、SSLのセキュリティ的な地位はかなり高いほうだと思っております。
SSLとBASIC認証の組み合わせ
そんなわけで、SSLが必要になる場面も出てくる場合があります(中小零細企業にはお値段が高い場合が多い・・・)。
本来SSLとBASIC認証は別個のものでして、SSLを使おうと思うとhttps://で始まるアドレスでアクセスしないといけません。
サイト内リンクであれば、クリックするだけなのでURLを書き換えることはないのですが、悪意を持った攻撃者がこのURLをhttp://に書き換えるだけでSSLを回避できてしまいます。
そんなわけで、HTTP接続の時にパスワードを送信してしまうのを避けるために、esehttpdにはAuthRequireSSL
オプションが用意されています。
<Directory /usr/local/lib/esehttpd/www/html/bar/> AuthUserFile /usr/local/lib/esehttpd/conf/password AuthRequireSSL On ... </Directory>
のように設定しておけば、HTTP接続の時はBASIC認証を使わずにリクエストを拒否するようになります。
BASIC認証とSSLの組み合わせでセキュリティは強固になります(お値段も跳ね上がりますが)。
ただ、セキュリティが強固になっても人が原因で情報が漏れたりすることもあります。
セキュリティってやつはホント頭を悩ますところであります・・・٩(๑`^´๑)۶
SSL化、0円で出来ます!
SSLを使いたい場合はエックスサーバーがオススメです!
WordPressも安定して動きます(うちのお客様にもオススメしてます)。
サーバー代月900円~、追加費用0円でSSL化できますよ~(^O^)
関連記事
-
-
SSLを使わないと検索エンジンに表示されなくなる・・・かも?
SSLって暗号化のことでしょ?なんで検索エンジン? SSLがSEO(検索エンジン …
-
-
デザインで思うこと
よくデザインを作っている時に「ありきたりで陳腐なデザインだなあ」と思うことがあり …
-
-
WEBフォントでWEBデザインに幅ができるよ!
WEBフォントってご存じですか? 通常、WEBサイトの文章用フォントはPC・ブラ …
-
-
田舎すぎてgooglemapに表示されない場合
表題のとおりです。はい。 我々の業界ではWEBサイトに地図掲載をする歳、Goog …
-
-
パスワード変更の意味って?
パスワードをただ変更するだけではあまり意味が無い http://d.hatena …
-
-
付箋仕事術を初めてから。
付箋仕事術を始めてから痩せっぽちのボクがこんなに逞しく!! ・・・なるはずはなく …
-
-
忘備録-CPIメールのパスワードルール(文字数・規則)
いつも忘れるのでここに書いておきます(´∀`) アカウント名の規則 メールアカウ …
-
-
MISOKAで見積書・請求書・入金管理がとってもラクちん!
ご存じですか?MISOKAで今よりラクに見積書・請求書・入金管理する方法 2ヶ月 …
-
-
手っ取り早く売りたい人向け!BASEはすごい!
BASEすごいですよ お客様の依頼でBASEを触ってみたのですが、これすごいです …
-
-
WEB屋さんがオススメする間違いのないWEBサーバー選び
とまあ、標題のように書いてみたものの、もう安定しているWEBサーバーサービスを見 …
- PREV
- セキュリティって気をつけた方がいいの?
- NEXT
- WordPressのサーバー移動