締切済み

BASIC認証をSSLで使用する場合

2005/11/05 23:39

私は現在XREAという.htaccessOKのサーバ屋のサーバを使っています。このサーバは非公開ディレクトリも作成できるのでそちらにいろいろと非公開コンテンツを乗っけようと思いましたが CGIが対応していないようなので公開ディレクトリの下に BASIC認証を敷こうと思っています。そのさい、単にBASIC認証だとパスワードが平文で送信されるそうなのでパスワードを認証して最初のページに入るまでSSLを使用し、 BASIC認証の弱点を克服することが出来たらと思っております。どうすればhttps://の状態でBASIC認証をかけることができるか、また認証後http://に戻すにはどうすればいいのか、ご存知の方いらっしゃいましたらご教授願います。

QQQQage
お礼率14% (1/7)

ネットワーク
回答数2
ありがとう数1

みんなの回答 （2）
専門家の回答

みんなの回答

noname#84695

2005/11/06 10:20 回答No.2

BASIC認証をかけているhttpsのページからhttpのページに転送をかけてみてはいかがでしょうか？ただし、#1さんと同意見で、最初のBASIC認証だけパスワードをかけても意味がないと思います。 BASIC認証後のページを特定の人物にしか見せたくないという趣旨のはずですので、仮にhttpのURLがばれてしまったら丸裸ですよ？

osamuy
ベストアンサー率42% (1231/2878)

2005/11/06 00:25 回答No.1

SSL通信とBASIC認証の機能は独立してますので、.htaccessでBASIC認証を設定した場合、httpとhttpsのいずれでも認証がかかります。 BASIC認証を使用する場合、要求時のデータに必ずパスワードが含まれます。なので、BASIC認証の最初のパスワードを入れる時だけhttpsで、以降はhttpで通信したいと思っても、BASIC認証の意味がなくなるという。クッキーにセッションキーを持たせる仕組みとかを、別途作りこむ必要があります。