回答編集履歴

2

修正

2019/10/20 14:50

投稿

tanat
tanat

スコア18727

test CHANGED
@@ -24,7 +24,7 @@
24
24
 
25
25
  - そのIPからアクセスできる人のうち、Basic認証が漏れた場合に対応出来ないのはどうしよう?
26
26
 
27
- - basic認証よりDigest認証の方が原理的には安全なのでは?
27
+ ~~- basic認証よりDigest認証の方が原理的には安全なのでは?~~
28
28
 
29
29
  - クライアント証明書で認証した方が良くない?
30
30
 

1

修正

2019/10/20 14:50

投稿

tanat
tanat

スコア18727

test CHANGED
@@ -10,11 +10,15 @@
10
10
 
11
11
  を明確にする必要があります。
12
12
 
13
+ (極端な話、「Basic認証のID/PWが漏れたら諦める」という要件なら、IP制限すら必要なくって、HTTPS+Basic認証だけでも十分です)
14
+
13
15
 
14
16
 
15
17
  要件が決まっていない場合、適当に考えても
16
18
 
17
19
  - https化はしておかないと通信経路でbasic認証が盗聴される可能性がある
20
+
21
+ - サブドメインは類推出来ない複雑なものにした方が良いのでは?
18
22
 
19
23
  - 現在設定されているBasic認証のID/PWは十分に安全な長さと複雑度をもっているのか?
20
24