会社の Web サイトで認証を行うように依頼されたとき、htaccess と htpasswd を使用することになりました。現在、より安全なソリューションを探すよう求められています。注意するようにアドバイスされたシナリオの 1 つは、スニッフィングです。周りを見回したところ、HTTPS が探しているソリューションのように思えました。
認証に従業員のみがアクセスし、データベースへのアクセスを許可する場合。このデータベースでのアクティビティは非常に軽いはずです。私は、セッションごとに 5 つのクエリしかないという印象を受けています。取得されるデータも軽量です。
私が読んだところによると、ここで賭けるべきものは HTTPS のようです。認証と暗号化に関する私の知識はゼロに近いので、サイトの安全な認証を行うための他のオプションがあるかどうか疑問に思っています.
HTTPS は主に以下を提供します。
後者は、中間者攻撃やなりすまし攻撃に対する重要な対策です。誰かがサーバーになりすまして、クライアントを騙してパスワードなどの機密データを送信することを考えてみてください。
サーバーが動作するためには、クライアント ブラウザによって認識される CA によって署名された SSL 証明書がサーバーに必要であることに注意してください。これは、Verisign などの商用 CA によって取得された SSL 証明書、またはすべてのユーザーが証明書ストレージにインポートする必要があるカスタム SSL 証明書のいずれかです。
つまり、HTTPS はなりすまし攻撃からユーザーを保護しますが、それは証明書が正しく設定されている場合に限られます。それでも、必ずプレーン HTTP を無効にしてください。そうしないと、攻撃者がダウングレード攻撃を試みる可能性があります。
HTTPS を使用すると、現在使用しているものを含め、サーバーに対してクライアントを認証するためにいくつかの方法のいずれかを使用できます(HTTP Basic または Digest だと思います)。その他のオプションには、Kerberos、古い NTLM、RADIUS、またはクライアント側の SSL 証明書が含まれます。