- PR -

Apacheによる基本認証について

1
投稿者投稿内容
赤帽子の初心者
常連さん
会議室デビュー日: 2004/03/09
投稿数: 47
投稿日時: 2005-01-10 11:34
ベーシック認証によって
ユーザー名とPASSを聞いてくるのですが、
その時に送られるPASSはもしかして暗号化されてないのでしょうか?

またされていないのならばどのようにすれば暗号化して送ることができるでしょうか?
ご意見下さい。
未記入
ぬし
会議室デビュー日: 2004/09/17
投稿数: 667
投稿日時: 2005-01-10 12:08
引用:

ベーシック認証によってユーザー名とPASSを聞いてくるのですが、その時に送られるPASSはもしかして暗号化されてないのでしょうか?

暗号化されていません。単なる BASE64 エンコードです。

引用:

またされていないのならばどのようにすれば暗号化して送ることができるでしょうか?

ダイジェスト認証を利用することができます。
あんとれ
ぬし
会議室デビュー日: 2004/01/14
投稿数: 556
投稿日時: 2005-01-10 12:51
ついでに言えば、Telnet やメールを受信するときのパスワードとかも暗号化されていません。

暗号化してパスワードを送る必要がある場合、未記入さんが指摘されているようにダイジェスト認証を利用するか、SSL を利用する必要があります。

ただ、実際のところはベーシック認証のパスワードを盗聴されて被害にあったなんていう例は聞いたことがありませんが。
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2005-01-10 22:39
蛇足ついでですが。
ユーザ側からみると「一度入力したら後はずっと」見れるBASIC認証
ですが、実際には「アクセスするたびにIDとパスワードを送りなおす」
仕様です。
セキュリティを考えての認証であれば、いろいろな意味でお勧め
できないですね :-P
h2
ベテラン
会議室デビュー日: 2004/12/23
投稿数: 58
投稿日時: 2005-01-11 03:12
もう皆さんがお答えになられていますが,ダイジェスト認証もしくはSSLとBASIC認証を組み合わせてみるのはいかがでしょうか?
1

スキルアップ/キャリアアップ(JOB@IT)