コード上に記載しているID,PWの管理方法

Question

コード上に記載しているID,PWの管理方法

解決済

回答 3

投稿 2017/02/07 21:12

評価
クリップ 0
VIEW 1,574

yuki_90453

score 195

いつもお世話になっております。
スクレイピング行うプログラムのコード上にIDとPWを記載しているのですが、このままの状態ではセキリティに問題がありますし、gitなどのバージョン管理も出来ないので改善したいと考えています。

このプログラムはサーバー上のスケジュール設定で動かす事を前提にしております。
ですので、自身のPCだけでなくサーバー上でも適応出来る方法を模索しております。

このような環境下でよいパスワード管理方法、およびセキリティを向上出来る方法があれば教えて頂けないでしょうか？

環境
CentOS6.8
macOS sierra10.12

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

クリップを取り消します
良い質問の評価を上げる

以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します

評価を下げられる数の上限に達しました

評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる

teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 過去に投稿した質問と同じ内容の質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します

この機能は開放されていません

評価を下げる条件を満たしてません

評価を下げる理由を選択してください
プログラミングに関係のない質問やってほしいことだけを記載した丸投げの質問問題・課題が含まれていない質問意図的に内容が抹消された質問過去に投稿した質問と同じ内容の質問広告と受け取られるような投稿
詳細な説明はこちら

上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。
質問の評価を下げる機能の利用条件

この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
- メールアドレスの認証
  メールアドレスの認証
- 質問評価に関するヘルプページの閲覧
  質問評価に関するヘルプページの閲覧

回答 3 件

評価が高い順
新着順
古い順

0

設定ファイルを作ってその中で管理します。
gitのignoreファイルに設定してgitでは管理しないようにします。

投稿 2017/02/07 22:04

回答の評価を上げる

以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
回答の評価を下げる

下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

2017/02/07 22:18

設定ファイルは暗号化か何かはするのですか？

設定ファイルは暗号化か何かはするのですか？

キャンセル
2017/02/07 22:23

サーバ上の設定ファイルを許可された人以外見ることが出来なくすれば、セキュリティの問題は解決するはずです。サーバのファイルを誰でも見たり変更出来るのであれば、パスワード以前のセキュリティ上の問題です。

サーバ上の設定ファイルを許可された人以外見ることが出来なくすれば、セキュリティの問題は解決するはずです。サーバのファイルを誰でも見たり変更出来るのであれば、パスワード以前のセキュリティ上の問題です。

キャンセル
2017/02/07 22:28

サーバー上のファイルは管理者のみしか閲覧出来ない状態です。
しかしよそのサーバーにプレーンな状態で保存するのは不安だと思い質問してみました。

サーバー上のファイルは管理者のみしか閲覧出来ない状態です。しかしよそのサーバーにプレーンな状態で保存するのは不安だと思い質問してみました。

キャンセル
2017/02/07 22:34

ファイルまたはフォルダに権限設定しましょう。暗号化しても、復号化のキーを持っていれば権限を持っていることとなんらかわりはありません。他にも、サーバ上には権限がない人には見えない問題のあるプレーンテキストがたくさんあります。

ファイルまたはフォルダに権限設定しましょう。暗号化しても、復号化のキーを持っていれば権限を持っていることとなんらかわりはありません。他にも、サーバ上には権限がない人には見えない問題のあるプレーンテキストがたくさんあります。

キャンセル
2017/02/08 19:23

もしサーバーが攻撃されソースが漏洩した場合、プレーンなテキストだと為す術がないと思います。
もちろん攻撃されて漏洩してしまうサーバーにも問題あると思いますが、万が一の事を考えて対策をうちたいと考えております。

例えば、PWが記載されたファイルを暗号化し、別のサーバーまたウェブサービスに保存し、自サーバーからそこへファイルを取得、復号化なんて出来ればいいと思うのですが、どう思いますか？

もしサーバーが攻撃されソースが漏洩した場合、プレーンなテキストだと為す術がないと思います。もちろん攻撃されて漏洩してしまうサーバーにも問題あると思いますが、万が一の事を考えて対策をうちたいと考えております。例えば、PWが記載されたファイルを暗号化し、別のサーバーまたウェブサービスに保存し、自サーバーからそこへファイルを取得、復号化なんて出来ればいいと思うのですが、どう思いますか？

キャンセル
2017/02/09 09:35 編集

複合化サーバから送られてくるパスワードを取得される可能性があります。また、パスワードをもらったサーバは生のパスワードを知っているので、プログラムを変更して抜き取れたりの問題があります。これは、ソースコードを変更できる権限で可能なことです。

また、複合化サーバもキーを知りえますし、通信経路についても注意が必要です。

各種こまやかなセキュリティ設定や暗号化技術を用いれば不可能ではないことかもしれませんが、かなり大がかりな仕組みになるでしょう。

このレベルになると、セキュリティの専門家にコンサルティングを受けないとどこかに穴が開くのではないでしょうか。

複合化サーバから送られてくるパスワードを取得される可能性があります。また、パスワードをもらったサーバは生のパスワードを知っているので、プログラムを変更して抜き取れたりの問題があります。これは、ソースコードを変更できる権限で可能なことです。また、複合化サーバもキーを知りえますし、通信経路についても注意が必要です。各種こまやかなセキュリティ設定や暗号化技術を用いれば不可能ではないことかもしれませんが、かなり大がかりな仕組みになるでしょう。このレベルになると、セキュリティの専門家にコンサルティングを受けないとどこかに穴が開くのではないでしょうか。

キャンセル

0

こんにちは。
自分も同様の悩みを以前体験しました。
pitがおすすめです。
pitを使ってソースコードにパスワードなどを書かずにオープンソース化する方法 - ほつた@はてな
http://hotuta.hatenablog.com/entry/2016/08/25/135029

投稿 2017/02/08 16:56

回答の評価を上げる

以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
回答の評価を下げる

下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

同じタグがついた質問を見る

score 1 · Accepted Answer · 2017-02-08T17:08

ベストアンサー

+1

gitなどのバージョン管理も出来ないので改善したい

Gitでのバージョン管理は可能です。
Bitbucketのサービスは他人が見れないプライベートなリポジトリが無料で作れます。
GitHubでもそこそこの額を支払えば使えますけどね。

よいパスワード管理方法

私がよく使ってるのは下記の3つですね。

環境変数に逃がす
~/.hogeという風に、ホームディレクトリにファイルを作って逃がす
IDやパスワードはBitbucketで管理、残りのロジックはGitHubで管理（ひどい

環境変数やファイルを作って逃がす場合、
IDやパスを忘れてしまうので、何かしらのIDをクラウドで保存させるサービスと併用したいところです。
現在形ではLastPassで手動管理とBitbucketのプライベートリポジトリで管理して、
使うマシンで個別に設定するという風にやっています。

投稿 2017/02/08 17:08

回答の評価を上げる

以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
回答の評価を下げる

下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

コード上に記載しているID,PWの管理方法

関連した質問

同じタグがついた質問を見る

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

コード上に記載しているID,PWの管理方法

15分調べてもわからないことは、teratailで質問しよう！

関連した質問

同じタグがついた質問を見る

SNSアカウントでログイン

teratailアカウントでログイン