セキュリティと Apache：初級必読本 4

Apache では、受け取ったすべての要求はフェーズを通過させて処理している。 Apache の各モジュールは、要求がそれぞれのフェーズを通過する際にそれらを処理することができるが、ほとんどのモ ジュールが属するのは 1 つあるいは 2 つのフェーズだけだ。

Apache にはセキュリティ チェックに関係した 3 つの処理フェーズがあり、それらは次のような順序で移行する。

1. access_checker このフェーズでは強制アクセスのチェックが適用される。たとえば、 mod_access によって、クライアントの IP アドレスがドキュメントへのアクセスを許可されているか どうかがチェックされる。
2. check_user_id これは認証フェーズだ。 mod_auth のような DAC モジュールにより、ユーザーの証明情報がデータベース中にあってそれが有効 かどうかがチェックされる。
3. auth_checker このフェーズでは承認が行われる。 mod_auth などのモジュールにより、上のフェーズで認証されたユーザーにドキュメントへのアクセス が許可されているかどうかがチェックされる。

任意アクセス チェックを課すモジュールは、通常、後の 2 つのフェーズに加わっている。

基本認証とダイジェスト認証
ユーザー名とパスワードはどのようにしてネットワーク中を送信されるのだろうか? 2000 年初頭における状況は、あま りいいとはいえないが、これはデータ送信に関する技術的な問題というよりは、哲学的な問題と言えるだろう。

現在、証明情報の受け渡しには、主に基本認証とダイジェスト認証という 2 つの方法がある。ダイ ジェスト法は非常にセキュアな方法だが、残念なことに実際にはあまり使われていない。 Web 上でのほとんどの認証に は、より低いセキュリティしか持たない基本認証のメカニズムが使われている。

基本認証では、ユーザー名とパスワードを base64 エンコードしたものをサーバーへ送信しているにすぎない。こ れは、通信を傍受すればユーザー名とパスワードを知ることができるということだ。もちろん、それらの情報が正しく て認証に成功しないと意味がないが。一方、ダイジェスト認証では、証明情報は容易にデコードできない方式で送信さ れる。

ユーザー名とパスワードは基本認証のメカニズムではほとんど保護されておらず、複数の保護領域で、ユーザー情報 を格納するために使用される認証データベースは同じものが使われる。ダイジェスト認証メカニズムでは、証明情報が 有効な保護領域の名前がエンコードされるので、ダイジェスト法を使った保護領域では、それぞれ個別の認証データベ ースをもつ必要がある。

Apache の構成時に任意制御を設定するには、AuthType 指示子が必要だ。設定は、より高 位のディレクトリや場所から継承されるが、継承される値はあらかじめ設定する必要がある。デフォルト値はない。

強制および任意制御の組み合わせ Satisfy 指示子
任意および非任意アクセス制御を組み合わせて使いたい場合もあるだろう。たとえば、ローカル ネットワークにいるユ ーザーは自由にドキュメントへアクセスできるが、それ以外はユーザー名とパスワードを入力する必要がある、という 風に設定したいような場合だ。

このような設定を行うには Satisfy 指示子を使う。これは次のようなキーワードを 1 つとる。

All

Satisfy All 指示子が適用されるドキュメントにアクセスするには、クライアントはすべて の非任意チェック (Allow や Deny 指示子) および任意チェック (Require 指示子など) の両方にパスする必要がある。

Any

Satisfy Any 指示子が適用されるドキュメントにアクセスするには、クライアントは非任意 チェック (最初に行われる) または任意チェックのどちらかにパスすればいい。

たとえば次の設定では、ローカル ネットワーク (IP アドレスが 10.*.*.*) にいるクライアントは、 foo.html ページへ自由にアクセスできるが、それ以外の人にはすべて、ユーザー名とパスワードを要 求する。

IP アドレスによるアクセス制限 >>

• レノボ、4日発売予定のネットブック「IdeaPad S10-2」の発売を延期（Webテクノロジー 7月4日 10:00）
  レノボ・ジャパン株式会社は2009年7月3日、ネットブック「IdeaPad S10-2（エステンダッシュツー）」の量販店での販売開始を延期することを発表した。
• 文書共有サイト「Hotdocs」リニューアルで、デジタル雑誌の“ちら見せ”プロモーション（E-コマース 7月3日 17:40）
  今回のサイトリニューアルで、会員システムを、従来通りの一般会員と、出版社など法人向けパートナー会員の2つに分け、一般投稿とは別に、法人が自社コンテンツを公式コンテンツとしてプロモーションできるようになった。パートナー会員第1号は富士山マガジンサービス。
• モルフォの「TrackSolid」など6つの技術が「SoftBank 935SH」に搭載（携帯・ワイヤレス 7月3日 17:30）
  株式会社モルフォは2009年7月3日、同社が開発した6つの技術が、同日発売されたソフトバンクの夏モデル「SoftBank 935SH」（シャープ製）に搭載されたことを発表した。
• ジー・モード、エヴァの携帯ゲーム「駆け抜けろ！！第三新東京市」を無料配信（携帯・ワイヤレス 7月3日 17:30）
  ジー・モードは2009年7月3日、同社の運営する携帯電話向け無料ゲームサイト「ゲームモラエール」にて、アニメ「新世紀エヴァンゲリオン」のゲーム「駆け抜けろ！！第三新東京市 キャンペーン版」の無料配信を開始した。
• 夏モデルを購入したいというユーザーは4割半ば―携帯買い替えニーズ定期リサーチ（47）（デイリーリサーチ 7月3日 17:00）
  インターネットコム株式会社と goo リサーチがレポートする「携帯電話買い替えニーズ定期リサーチ」の第47回。今回は、続々と発売されている夏モデルへの購入意向についても調査した。