質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.53%

  • Ruby

    9191questions

    Rubyはプログラミング言語のひとつで、オープンソース、オブジェクト指向のプログラミング開発に対応しています。

  • CentOS

    3076questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

  • 暗号化

    93questions

    ネットワークを通じてデジタルデータをやり取りする際に、第三者に解読されることのないよう、アルゴリズムを用いてデータを変換すること。

  • Security+

    32questions

    Security+は、IT業界団体であるCompTIA認定の資格の一つです。ネットワークセキュリティやコンプライアンスと運用セキュリティといったセキュリティ分野における知識・技術の証明になり、セキュリティインシデントに対応するための知識も評価されます。

コード上に記載しているID,PWの管理方法

受付中

回答 3

投稿

  • 評価
  • クリップ 0
  • VIEW 705

yuki_90453

score 88

いつもお世話になっております。
スクレイピング行うプログラムのコード上にIDとPWを記載しているのですが、このままの状態ではセキリティに問題がありますし、gitなどのバージョン管理も出来ないので改善したいと考えています。

このプログラムはサーバー上のスケジュール設定で動かす事を前提にしております。
ですので、自身のPCだけでなくサーバー上でも適応出来る方法を模索しております。

このような環境下でよいパスワード管理方法、およびセキリティを向上出来る方法があれば教えて頂けないでしょうか?

環境
CentOS6.8
macOS sierra10.12

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

0

設定ファイルを作ってその中で管理します。
gitのignoreファイルに設定してgitでは管理しないようにします。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/02/07 22:18

    設定ファイルは暗号化か何かはするのですか?

    キャンセル

  • 2017/02/07 22:23

    サーバ上の設定ファイルを許可された人以外見ることが出来なくすれば、セキュリティの問題は解決するはずです。サーバのファイルを誰でも見たり変更出来るのであれば、パスワード以前のセキュリティ上の問題です。

    キャンセル

  • 2017/02/07 22:28

    サーバー上のファイルは管理者のみしか閲覧出来ない状態です。
    しかしよそのサーバーにプレーンな状態で保存するのは不安だと思い質問してみました。

    キャンセル

  • 2017/02/07 22:34

    ファイルまたはフォルダに権限設定しましょう。暗号化しても、復号化のキーを持っていれば権限を持っていることとなんらかわりはありません。他にも、サーバ上には権限がない人には見えない問題のあるプレーンテキストがたくさんあります。

    キャンセル

  • 2017/02/08 19:23

    もしサーバーが攻撃されソースが漏洩した場合、プレーンなテキストだと為す術がないと思います。
    もちろん攻撃されて漏洩してしまうサーバーにも問題あると思いますが、万が一の事を考えて対策をうちたいと考えております。

    例えば、PWが記載されたファイルを暗号化し、別のサーバーまたウェブサービスに保存し、自サーバーからそこへファイルを取得、復号化なんて出来ればいいと思うのですが、どう思いますか?

    キャンセル

  • 2017/02/09 09:35 編集

    複合化サーバから送られてくるパスワードを取得される可能性があります。また、パスワードをもらったサーバは生のパスワードを知っているので、プログラムを変更して抜き取れたりの問題があります。これは、ソースコードを変更できる権限で可能なことです。

    また、複合化サーバもキーを知りえますし、通信経路についても注意が必要です。

    各種こまやかなセキュリティ設定や暗号化技術を用いれば不可能ではないことかもしれませんが、かなり大がかりな仕組みになるでしょう。

    このレベルになると、セキュリティの専門家にコンサルティングを受けないとどこかに穴が開くのではないでしょうか。

    キャンセル

0

こんにちは。
自分も同様の悩みを以前体験しました。
pitがおすすめです。
pitを使ってソースコードにパスワードなどを書かずにオープンソース化する方法 - ほつた@はてな
http://hotuta.hatenablog.com/entry/2016/08/25/135029

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

gitなどのバージョン管理も出来ないので改善したい

Gitでのバージョン管理は可能です。
Bitbucketのサービスは他人が見れないプライベートなリポジトリが無料で作れます。
GitHubでもそこそこの額を支払えば使えますけどね。

よいパスワード管理方法

私がよく使ってるのは下記の3つですね。

  • 環境変数に逃がす
  • ~/.hogeという風に、ホームディレクトリにファイルを作って逃がす
  • IDやパスワードはBitbucketで管理、残りのロジックはGitHubで管理(ひどい

環境変数やファイルを作って逃がす場合、
IDやパスを忘れてしまうので、何かしらのIDをクラウドで保存させるサービスと併用したいところです。
現在形ではLastPassで手動管理とBitbucketのプライベートリポジトリで管理して、
使うマシンで個別に設定するという風にやっています。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

同じタグがついた質問を見る

  • Ruby

    9191questions

    Rubyはプログラミング言語のひとつで、オープンソース、オブジェクト指向のプログラミング開発に対応しています。

  • CentOS

    3076questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

  • 暗号化

    93questions

    ネットワークを通じてデジタルデータをやり取りする際に、第三者に解読されることのないよう、アルゴリズムを用いてデータを変換すること。

  • Security+

    32questions

    Security+は、IT業界団体であるCompTIA認定の資格の一つです。ネットワークセキュリティやコンプライアンスと運用セキュリティといったセキュリティ分野における知識・技術の証明になり、セキュリティインシデントに対応するための知識も評価されます。