クワのセキュリティ基礎講座 Vol.2
こんばんは、
Googleの入力予測になぜか変態的な言葉が
優先的に予測されがちな
くわ@身に覚えがありませんです。
便利ってときに諸刃の剣ですね。
みなさんもプレゼンのときは気をつけてくださいね!
あとブログのタイトルはちゃんとつけようね!!
福岡で宝毛を大切にするための10の方法とかにしようね!w
(現在 福岡 宝毛で2位)
では、今回は対策についてです。
今回は
1.パスワードについて
2.web製作をするときにサーバーサイドでやっておくべきセキュリティです。
パスワード
これは中々難しい問題で、どうしても業務上どうしても覚えやすい
パスワードにしがちです。面倒ですが複雑なパスワードを設定しましょう。
えーでも、考えるの面倒くさいしーというあなた、
ちゃんとパスワードを生成してくれるサイトがあります。
Password Generator
http://www.graviness.com/temp/pw_creator/
大文字小文字数字を合わせて16桁以上で生成すると
強力だと思われます。登録したパスワードはちゃんと大切に
保存しておきましょうね。
ではサーバーサイドに入っていきます。
web製作をするときにサーバーサイドでやっておくべきセキュリティです。
サーバーでのセキュリティ対策として
.htaccessというのがあります。
サーバーにアップすることでいろいろな機能や制限を与えます。
例としてベーシック認証というログインをする機能や
URLをリダイレクトしたりすることができます。
また、ある特定のアクセスを許可したり拒否することができるんです。
今回はその中でもよく使うものをご紹介します。
ファイルを表示させないようにする。
下記のURLのようなページをみたことありませんか?
http://archive.ubuntulinux.jp/ubuntu-ja/
これはこのURLのところに置いてあるファイル群が見えている状態です。
現在のweb製作でよく使われるphpなどのプログラムファイル、設定ファイル
など見られてしまうと大変なことになります。
そこで以下の記述をしましょう。
Options -Indexes
またホスティングでは対策をしてあるところがほとんどですが、
この.htaccess自体を見られないように設定する方法が
<Files ~ “^\.ht”>
deny from all
</Files
です。
解説すると
頭に.htがついているファイルのすべてのアクセスを
拒否するです。
Basic認証でパスワードをかける。
Basic認証とは簡易パスワードをかける機能です。
公開前やログイン認証する画面に対して使います。
wordpressの場合はwp-login.phpにかけるとより
強力になります。
ただしこのBasic認証は平文でIDパスワードが送られるため
あまり強い方式ではありません。ではなぜ設定するか?
これは、ログイン画面を狙ったプログラム対策のためです。
wordpressを例にあげますと、url/wp-login.phpという
ところにログイン画面があるというのは、使っている人ならば
分かりますね。そこでBasic認証をかけることによって、
ファイルがあるかどうかという解析プログラムに応答しないためです。
(もちろん、Basic認証があれば解析しなさいという処理を持つプロ
グラムも存在すると思います。)
Basic認証は大体のホスティングで容易されていると思われますが
せっかくなので
こちらで作成してみてください
htaccess editor
http://www.htaccesseditor.com
.htaccessと.htpasswordという2つのファイルをアップロードしてできあがりです。
アクセス制限をする
管理画面や見られたくないファイルってありますよね。
あらかじめ分かっている場合はアクセスを自分だけにできることができます。
また限られた人だけということもできるんです。
order deny,allow
deny from all
allow from 自分のIPアドレス
他を追加する場合は
allow from を追加して、追加したいIPアドレスを記述するとできます。
ざっと駆け足で行きましたがいかがでしたでしょうか、
wp-loginはurlをリダイレクトするというやり方もありますが、
今回は紹介しませんでした。
では今週もがんばっていきましょうー。
来週のお題は、web製作者必見~Fireworksで宝毛を測定してみた。です。
Related posts:
