衝撃の結末 .htaccessは使わない

参照page>>>http://shigejii.sakura.ne.jp/org_cont/nandemo_lab/auth_basic/auth_basic_5.html

衝撃の結末 .htaccessは使わない

衝撃の結末です。
.htaccessファイルは使わないことにしました。
Apacheチュートリアルをまじめに読んでゆくうちに、httpd.conf(主設定ファイル)にアクセスできる場合は、.htaccessファイル(分散設定ファイル)の使用は極力避けてください というくだりに行き着きました。
サーバーの性能の問題と、セキュリティの問題が含まれるということです。
自宅サーバーのユーザーは、しげ爺だけですから、セキュリティの問題は深刻ではないですが、サーバーの性能の問題は少々気になります。

いままでこの報告書で説明してきた「ディレクティブの記載された .htaccessファイルを、D:/WWW/html/sample に置く」ことと、「httpd.confに Directoryセクションを書く」ことは、完全に同じことであることがわかってきました。

今までの苦労は何だったのだと、落胆することはありません。
今までに得たノウハウは無駄ではありません。

さっそく、httpd.conf(主設定ファイル)による「認証」を設定します。

httpd.confを、テキストエディタで開き、AllowOverrideディレクティブの値を none に戻し、.htaccessファイルの使用を無効にします。

basic_auth08

次に、httpd.confのDirectoryセクションで、.htaccessファイルに記述していたのと同じディレクティブを記載します。
AccessFileName htaccess.htaccess もコメントアウトします。

basic_auth09

これで Apache の設定は完了です。
Apache を Restart すると、.htaccessファイルで実現したのと同じ認証の環境が出来上がりです。

おっと、認証を行うディレクトリに設置した htaccess.htaccessファイルは削除しましょう。
htpasswdファイルは、そのまま利用できます。

≪注意≫
ベーシック認証は、手軽に使え、デフォルトでの対応ブラウザも非常に多いので、一般的によく利用されている方式です。
しかし、セキュリティについては問題点を持っています。
ベーシック認証では、Base64エンコードされただけのパスワードをネット上に流してしまうためです。
盗聴者が、Base64でデコードすれば、簡単にパスワードが盗まれてしまいます。
いまさらですが、この方法は特に機密性の高いデータに対してはお勧めできません。
SSLを使い、丸ごと暗号化して送受信するなどの対策が必要です。

This entry was posted in Apache.

About

You may also like...

Your email will not be published. Name and Email fields are required