- ベストアンサー
見られないかとても心配です・・・。大丈夫でしょうか?
こんにちは、私は今.htaccessを使ってパスワードとIDで管理されたアクセス制限付のページを作成しようとしているのですが、そこで不安な事と疑問が出ているので、経験者の方がおられましたら教えていただけないでしょうか? NO1不安です。 いくら.htaccessでパスワードやIDを設定したからといって本当に安全なものでしょうか?第三者が入ってくるといった事は無いものでしょうか?またこのディレクトリ内に大事なファイルを置いておいても大丈夫なものなのでしょうか?とても不安です。 NO2疑問です。 .htaccess以下のディレクトリに置いた物には、全て認証が必要となるらしいのですが?(あってます?)ファイルやフォルダが沢山あっても、問題なく機能しますでしょうか?たとえばファイルが1000ページとかでも・・・?今後増えていく予定なので、あまり沢山になると不都合等ありましたらご紹介いいただけないでしょうか? 初めての設置で、まだ設置すら出来ていませんが、よろしくお願いいたします。
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
> XREA ふに~。XREAってレンタルサーバ(というよりWebホスティング)じゃないのんけ。 ・・・・(検索中)・・・・ ふむふむ。証明書はXREAの物が使えるらしい。さらに、.htaccessによるBASIC認証も可能。 ようし、君がやるべき事は、 1.XREAにおけるHTTPSの利用方法を調べる。 2.BASIC認証をかけたいディレクトリに対して、HTTP通信を拒否する設定にする。(HTTPとHTTPSで同一ディレクトリを使う場合) とりあえずこれだ。ここまで出来たら、その後はその時考えよう。
その他の回答 (4)
★No.1不安について・・ サーバー管理者には、必ず、見られます。 CGIに関係ないファイルの場合、BASIC認証を設定しても、同じレンタルサーバーに同居している人には、見られます。これを防ぐには、ファイルを暗号化して、解読ソフトをパソコン側に用意しておくか、あるいは、仮想サーバーなど、高価なレンタルサーバーを利用するしかありません。 CGI関係のファイルなどなら、パーミッションを正しく設定すれば見られませんが・・一般に配布されているようなCGIの場合、改造が必要だったりします。 ★No.2疑問について・・ 数は問題ありません。 見られる可能性については、「No.1不安」に準じます。
お礼
YAMAMAYAさん有難うございます。 やはりこの程度では、安全性を確保することは出来ないのですね。まあ、あくまでも個人仕様が目的で、絶対に見られては困るものでもないので、いいかなーと考えています。 >BASIC認証を設定しても、同じレンタルサーバーに同居している人には、見られます。 ちなみにこれは何を見られてしまうのでしょうか?IDとPassでしょうか?Passを暗号化していても問題ありますでしょうか?あとご存知でしたら教えていただきたいのですが、BASIC認証で使用できる暗号化したPassを生成するフリーソフトですとか、設置型のCGIなどはありませんでしょうか?
- anmochi
- ベストアンサー率65% (1332/2045)
> ちなみにSSLってhttps・・・ってやつでしょうか? いえ~すざっつらいと。 ApacheでSSLの設定をするには、まず証明書の作成を行わなくてはならない。いや、大体のLinuxディストリビューションでは、既に証明書は作成されているのだろうが、名前や組織の名前がね。 証明書の作成からhttpd.confの設定は色んなサイトがあるので参考にされたい。また、httpsに関しては、君の環境をもう少し詳しく説明していただく必要がある。例えば、OSは何か、自宅サーバかホスティングか、などなど。
お礼
anmochiさん度々有難うございます。 なんかとても難しい方向に進んでいっているようで、付いていけるか心配ですが・・・。 >ApacheでSSLの設定をするには、まず証明書の作成を行わなくてはならない。いや、大体のLinuxディストリビューションでは、既に証明書は作成されているのだろうが、名前や組織の名前がね。 証明書ですか、何か証明しないといけないのですね。 >証明書の作成からhttpd.confの設定は 何のことやら・・やばいです、(TT) 私の環境ですが、サーバーはXREAというのを使用しています。OSはXPのMCEです。やはり環境によってSSLと言うものの使用法や設定が違ってくるのでしょうか? 複数サイトを管理していたら大変ですね!
- anmochi
- ベストアンサー率65% (1332/2045)
> いくら.htaccessでパスワードやIDを設定したからといって > 本当に安全なものでしょうか? どんなコンテンツをおくかにもよるが、BASIC認証+SSLを使えば、ある程度は大丈夫だ。もちろんカーネルやApacheのパッチは提供されたらすぐ適用しておこう。 > .htaccess以下のディレクトリに置いた物には、 > 全て認証が必要となるらしいのですが? .htaccessを置く事で自動的に認証が発生するわけではない。BASIC認証などの設定を行わなくてはならない。 一応、ディレクトリを分けても、何個ファイルを置いても、必ずディレクトリアクセス権の支配下に置かれる(理論上)ので、それは心配しなくて良いだろう。もしその機能に不具合があるのなら、今までに発見されているはずだ。 気をつけなければならないのは、HTTPを使う場合、BASIC認証の為のユーザ名、パスワードも、コンテンツ自体も全て暗号化も何も無くネットワーク上を流れる。SSLの設定は必須だ。
お礼
anmochiさん有難うございます。 >どんなコンテンツをおくかにもよるが、BASIC認証+SSLを使えば、ある程度は大丈夫だ。 SSLですか・・・?これは一体何のことでしょうか?これが無いとやはり危ないのでしょうか? >気をつけなければならないのは、HTTPを使う場合、BASIC認証の為のユーザ名、パスワードも、コンテンツ自体も全て暗号化も何も無くネットワーク上を流れる。SSLの設定は必須だ。 SSLは必須ですか・・・、また難題が増えてしまいました(TT)ちなみにSSLってhttps・・・ってやつでしょうか?
- suzukikun
- ベストアンサー率28% (372/1325)
.htaccessということはWebサーバにApacheを使うと言うことですね? で、何事にも本当に安全と言うことはありません。特にBasic認証であればアクセス権とか、どこかに不備があればのぞけてしまいます。自分でサーバーをたてるのであればその辺をしっかりチェック、レンタルサーバーであれば業者にチェックをしてもらってください。 そのことを前提にすればファイルがいくつあっても(ページという単位では数えないと思いますが)大丈夫です。 設定の仕方などは以下のサイトを参考にしてみてください。
お礼
suzukikunさん、早速のご解答ありがとうございます。 私は自宅で運営していないので、レンタルサーバーになります。やはりサーバーに確認した方がよいのでしょうか? >そのことを前提にすればファイルがいくつあっても 設置ファイル数には制限が無いのですね?安心しました。
お礼
anmochiさん感謝で~す。 なるほど私のやるべきことですか! ちょっと楽しくなってきました。 >1.XREAにおけるHTTPSの利用方法を調べる。 2.BASIC認証をかけたいディレクトリに対して、HTTP通信を拒否する設定にする。(HTTPとHTTPSで同一ディレクトリを使う場合) よ~し、がんばって調べながらやってみたいと思います。