アクセス制限(Basic認証)を設定したのですが
これはどれ程のセキュリティを持つものなのでしょうか?
その気になればすぐサーバーにアクセスしてファイルや最悪DBに入り込んで内容を変更したり削除したり出来るレベルでしょうか?
セキュリティに強度を持たせるには他にはどのような対処方法があるでしょうか?
現在Basic認証を以下ページを参考に付けてみたのですが、
http://www.shtml.jp/htaccess/basic.html
指定したファイルやフォルダだけにはセキュリティをかけず,
誰でもアクセスできるように.htaccessを編集することは出来るでしょうか?
お手数をおかけしますがよろしくお願いします。
No.4
508
34
22pt
Basic 認証は、
http://ja.wikipedia.org/wiki/Basic認証
にかかれているとおり、解読が容易な認証です。
具体的にはDES暗号という方式で、暗号化されています。
DES暗号は、私は
http://server4.int-univ.com/sugsi/Lecture/DES/e2/e2.html
で勉強しました。
DESの攻撃方法なのですが、
http://server4.int-univ.com/sugsi/Lecture/DES/e4/e43.html
にやり方がかいています。
従って、安全な認証とは言えません。
http://ja.wikipedia.org/wiki/Digest認証
など、Digest認証を行う方法が一つあげられます。
しかしながら、重要なものをWebサイトに載せる場合、サーバまかせにせず、
https のプロトコルで、独自に認証システムを行う等の対応も考えた方がよいでしょう。
例えば、[認証の後で、カードに任意の数字を複数並べておき、サーバにはその都度かわる数字を表示し、その数字に対応する数字をカードから計算してもらって入力してもらう等]
です。
ただ、Basic認証でも、特に簡単なパスワードにしなかったり、大規模なアクセスがあるサイトでないかぎり、まず大丈夫かとは思います。
私も数年前から、自宅サーバを公開しています。.htaccessのbasic認証で、相当数のアタックが着ますが、[というか、それ以外のsshによるアクセスを試みようとする方が多いです。]
破られた痕跡は今のところありません。
No.1
59747
23pt
まず同類の質問がありましたので記載しておきます。
http://q.hatena.ne.jp/1173955201
その気になればすぐサーバーにアクセスしてファイルや最悪DBに入り込んで内容を変更したり削除したり出来るレベルでしょうか?
それはできません。フォルダー(ディレクトリ)単位でアクセス制限をかけるための”基本”認証なのでサーバやプログラムの脆弱性を突かれないか、IDとPASSが同一の物を使用していたなどのケアレスミスがないと不可能です。
セキュリティに強度を持たせるには他にはどのような対処方法があるでしょうか?
リンク先の質問にもありますが、BASIC認証などの場合は容易に盗聴可能です。
LAN内にいれば、プロトコルアナライザーなどを用いて盗聴できてしまいます。
BASIC認証は、セキュリティ面というよりも簡易的にアクセス制限を実施したい場合に利用します。
ですので、BASIC認証に関してはないよりマシ程度にとらえてください。
指定したファイルやフォルダだけにはセキュリティをかけず,
誰でもアクセスできるように.htaccessを編集することは出来るでしょうか?
HTMLだけのような静的なコンテンツのみの場合は、サーバに対するインシデントは発生しません。
しかしCGIやPHPを利用した場合はプログラムの脆弱性を突かれたり、権限設定のミスがあった場合などは任意のプログラムを動作させることが可能になります。
事実上サーバを乗っ取ることが可能になります。
セキュリティといっても様々であり、aiomockさんの環境が不明ですのでなんともいえませんが、レンタルサーバであればサーバ側のセキュリティは任せるしかありません。
しかし、設置したプログラムに関しては利用者の責任になるので、セキュアなコーディング知識と技術が必要なります。
ご回答ありがとうございます。
No.2
5960633
23pt
BASIC認証そのものは、比較的安全です。
経験上、BASIC認証が破られるのは、下記のようなケースです。
ご回答ありがとうございます。
No.3
1010
22pt
>これはどれ程のセキュリティを持つものなのでしょうか?
BASIC認証は、ID/PASSWORDが平文(暗号なし)でするため、ネットワークを盗聴されると
ID/PASSWORDがわかってしまいます。
また、総当りでID/PASSWORDをランダムに試して進入する方法もあります。
ご回答ありがとうございます。
No.4
50834
ここでベストアンサー
22pt
Basic 認証は、
http://ja.wikipedia.org/wiki/Basic認証
にかかれているとおり、解読が容易な認証です。
具体的にはDES暗号という方式で、暗号化されています。
DES暗号は、私は
http://server4.int-univ.com/sugsi/Lecture/DES/e2/e2.html
で勉強しました。
DESの攻撃方法なのですが、
http://server4.int-univ.com/sugsi/Lecture/DES/e4/e43.html
にやり方がかいています。
従って、安全な認証とは言えません。
http://ja.wikipedia.org/wiki/Digest認証
など、Digest認証を行う方法が一つあげられます。
しかしながら、重要なものをWebサイトに載せる場合、サーバまかせにせず、
https のプロトコルで、独自に認証システムを行う等の対応も考えた方がよいでしょう。
例えば、[認証の後で、カードに任意の数字を複数並べておき、サーバにはその都度かわる数字を表示し、その数字に対応する数字をカードから計算してもらって入力してもらう等]
です。
ただ、Basic認証でも、特に簡単なパスワードにしなかったり、大規模なアクセスがあるサイトでないかぎり、まず大丈夫かとは思います。
私も数年前から、自宅サーバを公開しています。.htaccessのbasic認証で、相当数のアタックが着ますが、[というか、それ以外のsshによるアクセスを試みようとする方が多いです。]
破られた痕跡は今のところありません。
ご回答ありがとうございます。
実際のケースが書いてあり非常に参考になります。
b-wind
2009/08/05 05:14:44
1
2
2
1
1
1
2
270
267
pahoo
http4799
ご回答ありがとうございます。
実際のケースが書いてあり非常に参考になります。