|
衝撃の結末です。
.htaccessファイルは使わないことにしました。
Apacheチュートリアルをまじめに読んでゆくうちに、httpd.conf(主設定ファイル)にアクセスできる場合は、.htaccessファイル(分散設定ファイル)の使用は極力避けてください というくだりに行き着きました。
サーバーの性能の問題と、セキュリティの問題が含まれるということです。
自宅サーバーのユーザーは、しげ爺だけですから、セキュリティの問題は深刻ではないですが、サーバーの性能の問題は少々気になります。
いままでこの報告書で説明してきた「ディレクティブの記載された .htaccessファイルを、D:/WWW/html/sample に置く」ことと、「httpd.confに Directoryセクションを書く」ことは、完全に同じことであることがわかってきました。
今までの苦労は何だったのだと、落胆することはありません。
今までに得たノウハウは無駄ではありません。
さっそく、httpd.conf(主設定ファイル)による「認証」を設定します。
httpd.confを、テキストエディタで開き、AllowOverrideディレクティブの値を none に戻し、.htaccessファイルの使用を無効にします。
次に、httpd.confのDirectoryセクションで、.htaccessファイルに記述していたのと同じディレクティブを記載します。
AccessFileName htaccess.htaccess もコメントアウトします。
これで Apache の設定は完了です。
Apache を Restart すると、.htaccessファイルで実現したのと同じ認証の環境が出来上がりです。
おっと、認証を行うディレクトリに設置した htaccess.htaccessファイルは削除しましょう。
htpasswdファイルは、そのまま利用できます。
≪注意≫
ベーシック認証は、手軽に使え、デフォルトでの対応ブラウザも非常に多いので、一般的によく利用されている方式です。
しかし、セキュリティについては問題点を持っています。
ベーシック認証では、Base64エンコードされただけのパスワードをネット上に流してしまうためです。
盗聴者が、Base64でデコードすれば、簡単にパスワードが盗まれてしまいます。
いまさらですが、この方法は特に機密性の高いデータに対してはお勧めできません。
SSLを使い、丸ごと暗号化して送受信するなどの対策が必要です。
|
