マジカルスリー・だいすけのなりゆき長者ブログ

沖縄/大阪WEB広告・ホームページ制作・印刷物制作 マジカルスリー 「福」代表のブログ

*

BASIC認証とSSL

      2017/10/03

Pocket

BASIC認証って?

WEBセキュリティの中にBASIC認証というものがあります。

比較的簡単に特定のフォルダなどをパスワードで鍵かけができてしまうため、よく使われるセキュリティです。

WordPressなどは有名なCMSなのでよく攻撃対象として狙われますが、BASIC認証で攻撃を回避するという手段はわりとよく行われている方法です。

ただ、一つ欠点がございまして・・・それが「平文でパスワードをやりとりする」というもの。

実世界で例えるなら、パスワード付きのドアロック(マンションとかについてるやつですね)で4桁の番号を入力するような感じです。

なんかセキュリティ的に良い感じでしょうが、ほらほら・・・見てますよ後ろの人・・・。

入力してるところ、めっちゃ見てる~~~\(ToT)/

という状況では使いづらいものです。

SSLって何?

それに対してSSLというものがあります。

これは「パスワードを暗号化する」事ができます。

誤解を恐れず例えると、指紋認証みたいなやつで、後ろでガン見されていてもへっちゃらな感じです。

(もちろん、例えの話で実際にPCの後ろでパスワード入力見られてるとマズイですよ・・・)

しかし、そんな強固なSSLでも指紋採取して偽造したり、認証の仕組みそのものの脆弱性を突く人もいるのですが。

今のところ「OpenSSLの脆弱性」(そういう安いSSLがあるのです)以外ではあまり脆弱性について聞かないので、SSLのセキュリティ的な地位はかなり高いほうだと思っております。

SSLとBASIC認証の組み合わせ

そんなわけで、SSLが必要になる場面も出てくる場合があります(中小零細企業にはお値段が高い場合が多い・・・)。

本来SSLとBASIC認証は別個のものでして、SSLを使おうと思うとhttps://で始まるアドレスでアクセスしないといけません。

サイト内リンクであれば、クリックするだけなのでURLを書き換えることはないのですが、悪意を持った攻撃者がこのURLをhttp://に書き換えるだけでSSLを回避できてしまいます。

そんなわけで、HTTP接続の時にパスワードを送信してしまうのを避けるために、esehttpdにはAuthRequireSSLオプションが用意されています。

  <Directory /usr/local/lib/esehttpd/www/html/bar/>
  AuthUserFile /usr/local/lib/esehttpd/conf/password
  AuthRequireSSL On
  ...
  </Directory>

のように設定しておけば、HTTP接続の時はBASIC認証を使わずにリクエストを拒否するようになります。

BASIC認証とSSLの組み合わせでセキュリティは強固になります(お値段も跳ね上がりますが)。

ただ、セキュリティが強固になっても人が原因で情報が漏れたりすることもあります。

セキュリティってやつはホント頭を悩ますところであります・・・٩(๑`^´๑)۶

SSL化、0円で出来ます!

SSLを使いたい場合はエックスサーバーがオススメです!

WordPressも安定して動きます(うちのお客様にもオススメしてます)。

サーバー代月900円~、追加費用0円でSSL化できますよ~(^O^)



 - お仕事の事

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  関連記事

社判、会社の印鑑はどこが良いのかな?という人に

なんか、「回し者か!」って声が聞こえてきそうですが いつも購入してるハンコ屋さん …

文字化けしない記号一覧

WEB上で日本語はおおよそ三種類の文字コードで表されます。 SHFT-JIS、E …

スパムメール扱いされた意外な落とし穴

お客さんにメールを送ったら500エラーでケッチンくらいました。 なんでかなーとい …

FTPエラー331 パスワード間違いじゃないパターン

FTPエラー331の罠 今回クライアントさんの依頼でFTP接続したのですが、どう …

WEB屋さんがオススメする間違いのないWEBサーバー選び

とまあ、標題のように書いてみたものの、もう安定しているWEBサーバーサービスを見 …

gmailで不要なメールを片付ける!

皆様、gmail使ってますか? 弊社ではセキュリティ度がとても高いものはメールで …

jimdo(簡単ホームページ作成サービス)を使ってみた

中小零細企業の味方、ホームページ作成の「マジカルスリー」のだいすけです。こんにち …

どのブラウザを除外するか。WindowsのバージョンとIEのバージョンについて

IEはバージョンごとにレイアウト崩れしたりしなかったりとCSSのバグなどがふんだ …

ハードディスクバックアップ-Mr.clone

(前回のあらすじ) Macrium Reflect FREE Editionで見 …

Googleで著作権フリーな素材画像・写真・イラストを探す方法

WEBマーケティングで有名な藤村先生に教えていただいたテクをご紹介です♪ ブログ …