ベーシック認証やダイジェスト認証で利用される「.htpasswd」等には、各ユーザのパスワード(のハッシュ値)が記載されているため、これらのファイルが盗まれないようにする必要があります。
ここでは、これらのパスワードファイルを保護する方法について説明します。
パスワードファイル「.htpasswd」等をapacheのドキュメントルートより上の階層、もしくはそのサブディレクトリ以下に配置します。
こうすることにより、パスワードファイルをHTTP経由で取得されることがなくなります。
「httpd.conf」で<Files>の記述を行い、特定のファイルの閲覧を不可能にします。
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>
上記の通り設定が完了したら、設定を反映させるためにapacheを再起動させます。
apacheの再起動方法については、「コマンドラインからapacheを起動/停止/再起動する」を参照してください。
これにより、「.ht〜」というファイル名へのアクセスを禁止することができます。
ファイル名は、上記のように正規表現で記述することが可能です。
apacheのバージョンによっては、この記述はデフォルトで存在するため、ダイジェスト認証のパスワードファイルも「.htdigest」のように命名することにより不正閲覧を回避できます。
・頂いたメッセージは管理者のチェックの後、公開されます。
・メッセージの公開を希望されない場合には、「このメッセージを非公開にする」にチェックを入れてください。
・管理者が不適切と判断したメッセージは公開しませんので、予めご了承ください。
| まだ評価がありません |
表示できるメッセージはありません。