[PHP-users 2054] Re: BASIC 認証のセキュア

[Osamu Shigematsu]

重松です。

> あちゃー。いろいろなところで使われていますが、
> 危険なんですね。ページ自体にSSLがかかっている場合でも
> 垂れ流しなんでしょうか。

いえ、上のレイヤで暗号化されるので関係ありません。

> md5ハッシュされたものを流す疑似クライアントを作ればそれまで
> ですものねぇ。
> 
> 使えないか…

結局、コスト対効果、ということになるかと思いますが、BASIC 認証を使う限り、毎
度毎度 ID, pass を送る必要がありますから、すべての画面を SSL で保護して回ら
ないといけない、ということになりますよね?

考えられる案としては、IP, pass 以外にクライアントがアクセス可能な IP の範囲
を確認する、だとか、閉じたネットワークにするというものがあり、私が仕事でやっ
ているものは、すべてを採用しています。

    ・SSL
    ・phplib の md5 ハッシュ
    ・特定の画面には、イントラネットからのみ (サーバ自体がローカルにある)
    ・IP アドレスの確認も行う

他に何かアイデアはありますでしょうか?

-- 
Osamu Shigematsu

http://www.ravi.ne.jp/%7eshige/
mailto:shige@ravi.ne.jp