回答編集履歴
2
修正
test
CHANGED
|
@@ -24,7 +24,7 @@
|
|
|
24
24
|
|
|
25
25
|
- そのIPからアクセスできる人のうち、Basic認証が漏れた場合に対応出来ないのはどうしよう?
|
|
26
26
|
|
|
27
|
-
- basic認証よりDigest認証の方が原理的には安全なのでは?
|
|
27
|
+
~~- basic認証よりDigest認証の方が原理的には安全なのでは?~~
|
|
28
28
|
|
|
29
29
|
- クライアント証明書で認証した方が良くない?
|
|
30
30
|
|
1
修正
test
CHANGED
|
@@ -10,11 +10,15 @@
|
|
|
10
10
|
|
|
11
11
|
を明確にする必要があります。
|
|
12
12
|
|
|
13
|
+
(極端な話、「Basic認証のID/PWが漏れたら諦める」という要件なら、IP制限すら必要なくって、HTTPS+Basic認証だけでも十分です)
|
|
14
|
+
|
|
13
15
|
|
|
14
16
|
|
|
15
17
|
要件が決まっていない場合、適当に考えても
|
|
16
18
|
|
|
17
19
|
- https化はしておかないと通信経路でbasic認証が盗聴される可能性がある
|
|
20
|
+
|
|
21
|
+
- サブドメインは類推出来ない複雑なものにした方が良いのでは?
|
|
18
22
|
|
|
19
23
|
- 現在設定されているBasic認証のID/PWは十分に安全な長さと複雑度をもっているのか?
|
|
20
24
|
|