japan.internet.com
japan.internet.com メンバーID
Twitter
Facebook
RSS
ピックアップ
キャリア
転職ならen
派遣ならen
アルバイトならen
IT求人情報
FX比較
ネット証券比較
商品先物取引比較
ホワイトペーパー
九州野菜
九州米
漫画喫茶
ホテル予約
ビジネスSNS
温泉
ピックアップメニュー
特集
ホワイトペーパー
レビュー
価格比較
資格・スクール
j.i.c.ブログ
グルメ検索
ホテル予約
パートナーサイト
転職ならエン
就職ならen
求人ならen
結婚式場情報ならen
翻訳ならLWC
東京ホテル
今週のIT求人情報
有限会社エイチ・アイ・ピー
医療広報物の企画営業
エレクトロビット日本株式会社
組み込みエンジニア(車載用システム担当)
トリンプ・インターナショナル・ジャパン株式会社
社内IT担当
その他 IT求人情報はこちら
Powerd by en
j.i.c メディア
携帯サイト
Androidアプリ
Androidサイト
iPhoneアプリ
iPhoneサイト
twitter
Facebook
iPadアプリ
ニュースメール
RSS
ガジェット
2001年4月14日 00:00

セキュリティと Apache:初級必読本 4

著者Ken Coarオリジナル版を読む海外海外発
Apache のセキュリティ処理フェーズ

Apache では、受け取ったすべての要求はフェーズを通過させて処理している。 Apache の各モジュールは、要求がそれぞれのフェーズを通過する際にそれらを処理することができるが、ほとんどのモ ジュールが属するのは 1 つあるいは 2 つのフェーズだけだ。

Apache にはセキュリティ チェックに関係した 3 つの処理フェーズがあり、それらは次のような順序で移行する。

  1. access_checker このフェーズでは強制アクセスのチェックが適用される。たとえば、 mod_access によって、クライアントの IP アドレスがドキュメントへのアクセスを許可されているか どうかがチェックされる。
  2. check_user_id これは認証フェーズだ。 mod_auth のような DAC モジュールにより、ユーザーの証明情報がデータベース中にあってそれが有効 かどうかがチェックされる。
  3. auth_checker このフェーズでは承認が行われる。 mod_auth などのモジュールにより、上のフェーズで認証されたユーザーにドキュメントへのアクセス が許可されているかどうかがチェックされる。

任意アクセス チェックを課すモジュールは、通常、後の 2 つのフェーズに加わっている。

基本認証とダイジェスト認証
ユーザー名とパスワードはどのようにしてネットワーク中を送信されるのだろうか? 2000 年初頭における状況は、あま りいいとはいえないが、これはデータ送信に関する技術的な問題というよりは、哲学的な問題と言えるだろう。

現在、証明情報の受け渡しには、主に基本認証ダイジェスト認証という 2 つの方法がある。ダイ ジェスト法は非常にセキュアな方法だが、残念なことに実際にはあまり使われていない。 Web 上でのほとんどの認証に は、より低いセキュリティしか持たない基本認証のメカニズムが使われている。

基本認証では、ユーザー名とパスワードを base64 エンコードしたものをサーバーへ送信しているにすぎない。こ れは、通信を傍受すればユーザー名とパスワードを知ることができるということだ。もちろん、それらの情報が正しく て認証に成功しないと意味がないが。一方、ダイジェスト認証では、証明情報は容易にデコードできない方式で送信さ れる。

ユーザー名とパスワードは基本認証のメカニズムではほとんど保護されておらず、複数の保護領域で、ユーザー情報 を格納するために使用される認証データベースは同じものが使われる。ダイジェスト認証メカニズムでは、証明情報が 有効な保護領域の名前がエンコードされるので、ダイジェスト法を使った保護領域では、それぞれ個別の認証データベ ースをもつ必要がある。

Apache の構成時に任意制御を設定するには、AuthType 指示子が必要だ。設定は、より高 位のディレクトリや場所から継承されるが、継承される値はあらかじめ設定する必要がある。デフォルト値はない。

強制および任意制御の組み合わせ Satisfy 指示子
任意および非任意アクセス制御を組み合わせて使いたい場合もあるだろう。たとえば、ローカル ネットワークにいるユ ーザーは自由にドキュメントへアクセスできるが、それ以外はユーザー名とパスワードを入力する必要がある、という 風に設定したいような場合だ。

このような設定を行うには Satisfy 指示子を使う。これは次のようなキーワードを 1 つとる。

All
Satisfy All 指示子が適用されるドキュメントにアクセスするには、クライアントはすべて の非任意チェック (AllowDeny 指示子) および任意チェック (Require 指示子など) の両方にパスする必要がある。
Any
Satisfy Any 指示子が適用されるドキュメントにアクセスするには、クライアントは非任意 チェック (最初に行われる) または任意チェックのどちらかにパスすればいい。

たとえば次の設定では、ローカル ネットワーク (IP アドレスが 10.*.*.*) にいるクライアントは、 foo.html ページへ自由にアクセスできるが、それ以外の人にはすべて、ユーザー名とパスワードを要 求する。

<Files foo.html> Order Deny,Allow Deny from All Allow from 10.0.0.0/255.0.0.0 AuthName "Insiders Only" AuthType Basic AuthUserFile /usr/local/web/apache/.htpasswd-foo Require valid-user Satisfy Any </Files>

IP アドレスによるアクセス制限 >>

関連記事
関連テーマ
プリンター用
記事を転送
この記事をクリップ!
【特別連載企画】大艦巨砲主義にして卓越したレスポンス--GALAXY S II WiMAX
【特別連載企画】大艦巨砲主義にして卓越したレスポンス--GALAXY S II WiMAX 1月20日より販売が開始されたサムスン製スマートフォン「GALAXY S II WiMAX」。カタログスペックでは、他メーカーのハイエンド機と同じように見えても、実際に使うと卓越したレスポンスに驚かされる。
⇒詳細記事はこちら
⇒連載記事一覧はこちら
注目のトピックス
話題の記事
⇒一覧を見る
アクセスランキング
⇒1位〜20位
最新コラム一覧
百式のネットビジネス研究
百式のネットビジネス研究
次のフライトでお好みの座席が空いたら教えてくれる「Expert Flyer」
週刊-サイト別アクセス状況データ
週刊-サイト別アクセス状況データ
12月の主婦層、ベルメゾンが首位を維持(VRI 調査)
アウンのグローバルマーケティング動向
アウンのグローバルマーケティング動向
Web プロモーションにおいて大切なこと―年度末編―
多言語×Web×海外マーケティング情報
多言語×Web×海外マーケティング情報
海外発、注目 AR プロモーション
エンジニア転職ノウハウ開発室
エンジニア転職ノウハウ開発室
楽天が目指す変革──Globalization、Agile、Big Data
中国・台湾ネットビジネス情報最前線
中国・台湾ネットビジネス情報最前線
中国から Web を見てもらいたいならば
マーケティングに活用できる最新トレンド
マーケティングに活用できる最新トレンド
改めて、「導線」最適化に目を向ける
次世代マーケティングチェーンの視点
次世代マーケティングチェーンの視点
ソーシャル時代における BtoC 型 Eコマース成功のポイント
コラム一覧
連載・スペシャルコンテンツ
経済評論家 山崎元のビジネス羅針盤
経済評論家 山崎元のビジネス羅針盤
ビジネスパーソンが企業社会を生き抜くために必要なノウハウを経済評論家 山崎元が独自の切り口で解説・指南する。
Android 勢を牽引する「GALAXY」
Android 勢を牽引する「GALAXY」
チャレンジ精神旺盛でハイスペック機メーカーの Samsung が送り出しすスマートフォンの実力とは
企業と消費者が「つながる」
企業と消費者が「つながる」
拡大する「ソーシャルメディアマーケティング」。企業が消費者と生み出すコミュニケーションの新潮流とは。
女性のためのデジタルトピックス
女性のためのデジタルトピックス
女性に身近なデジタルに関するトピックス、商品やトレンドに関するニュース記事をご紹介しています。
楽天株式会社が応募ガイダンス開催!
楽天株式会社が応募ガイダンス開催!
世界No.1のネット企業を目指す楽天が、WEBアプリケーションエンジニアを募集中!
特集・インタビュー記事の一覧
Copyright 2012 internet.com K.K. (Japan) All Rights Reserved.