[PHP-users 2051] Re: BASIC 認証のセキュア

[NAKANO Katsujiro/中野勝次郎]

お返事ありがとうございます。

Osamu Shigematsuさん曰く
>> BASIC認証で入力されるIDとPasswordって
>> 公開回線上で機密性は保持されているのでしょうか。
>> せめて、one-time passwordぐらいかかっていて欲しいと思うので
>> すが。
>
>保持されません。平文 (base64 エンコードはされますが) で垂れ流します。

あちゃー。いろいろなところで使われていますが、
危険なんですね。ページ自体にSSLがかかっている場合でも
垂れ流しなんでしょうか。

>phplib を使うと、ブラウザ側で JavaScript が有効な場合パスワードの md5 ハッシュ
>を計算してそれを送りますので、パスワードのそのものの漏洩はかなり防げますけど、
>その程度です。

md5ハッシュされたものを流す疑似クライアントを作ればそれまで
ですものねぇ。

使えないか…

-- 
NAKANO Katsujiro / 中野勝次郎
katsujiro@bizenya.co.jp