Basic認証のセキュリティ

2010年4月30日

今回はBasic認証のセキュリティに関するお話。

Basic認証はApacheで簡単にアカウントとパスワードを発行し、認証を行う事が出来るが、
弱点がある。

認証のためのアカウントとパスワードは平文で流れるため、
パケットを盗聴されていると簡単にID、パスが盗まれる。

これを手っ取り早く回避するには、Basic認証をSSL暗号化通信の経路に載せて行えばよい。

Basic認証 + SSL

は基本。と考えて設定を行った方が良いだろう。