ＳＱＬ認証 BASIC認証

ＳＱＬ認証にするべきか BASIC認証にするべきか、もしくは他の方法があるのか、わからず困っています。

既に出ている似たようなＱ＆Ａは「ビジネス・キャリア」の「インターネットビジネス」と「コンピューター（技術者向け）」の「運用・管理」で【アクセス制御】【アクセス制限】【会員サイト】の検索ですべて読んでみました。

有料会員サイトを作成しています。サイトをなんとか作れるくらいのレベルでパソコンのレベルはほとんど素人です。

■会員数数百人を予定しており、毎月の会員費を銀行振込みでお支払いしていただきます。

■会員ごとにIDとパスワードを発行し、会員専用ページにはそのID・パスがないと入れない。

■パスワードの発行、削除等は管理者がウェブ上で簡単に管理したい。

アクセス制御を設置してくる業者を調べたところ「ＣＧＩの匠」http://www.ortecweb.com/　こちらの業者さまから
ＳＱＬ認証　８４０００円
ＢＡＳＩＣ認証　５２５０円
の回答を得ました。

極力安い費用で済ませたいので、ＢＡＳＩＣ認証や他レンタルサーバーに付いているアクセス制限機能で問題ないようでしたらそうしたいと思っています。

Ｑ１．ＢＡＳＩＣ認証だと何か不都合はございますか？
値段がここまで違うと不安になってきます。

Ｑ２．ＢＡＳＩＣ認証でも、会員専用のすべてのページにアクセス制限がかかりますか？一度退会した人がＵＲＬから入ってこれることはありませんか？

教えてgooでの似たようなＱ＆Ａの一部です。

http://oshiete1.goo.ne.jp/kotaeru.php3?q=1292153

Ｑ３．また、レンタルサーバーで上記条件のアクセス制限ができる業者をご存知でしたら教えてください。


どうぞアドバイスしていただければと思います。
お願いいたします。

No.2 ベストアンサー 回答者： yambejp 回答日時： 2006/10/09 21:55

>ＢＡＳＩＣ認証にする場合にはＳＳＬで運用するのが

>基本。という認識でよろしいでしょうか？

必ずしもBASIC認証だからといってSSLにする必要は
ありませんが、有料コンテンツを保護するのであれば
SSLなどで暗号化をしていない限り流出の恐れがあると
いうことです。せっかくの有料コンテンツサイトであれば
自己保身のためにもSSLが基本になるのではないでしょうか？
まぁ費用対効果の観点からそこまで手間をかけるより
多少の不正アクセスには目をつむるという割りきった
考え方もあるので、一概にはなにが正解とはいえません。

>もしくは会員の住所や氏名などの個人情報が他人に
>覗かれてしまうということでしょうか？
まぁ会員本人の個人情報をWEBサイトに掲載していない
限り、そのての流出はあまり考えられませんので
極端にナーバスになることもないかと。

>「メンテナンスがめんどくさい」についてですが、
>どのようなメンテナンスを行うのか、どれくらいの
>頻度で行うのか、
メンテナンスの問題は基本的に.htaccessという
ファイルでおこないます。パスワードの作成に
htpasswdを使います。そのアタリはご自身でみっちり
お調べになったほうがよろしいでしょう。
パスワードとユーザー情報のはいった専用のファイルを
管理することになるので、複数のユーザー情報を
一ファイルで管理したりしているとなにかとめんどうが
おおくなります。
その点SQLで管理すれば、１ユーザー情報は１レコード
で管理できますので、グループ情報をかえたりするなど
運営方法を変えようとした場合でもそれほど違和感なく
移行することができます。
１０～２０件程度の小規模な場合はともかく、数百件と
なると徐々にSQLが恋しくなると思います。

またBASIC認証ですとユーザーごとのアクセス情報など
はログファイルを解析することになり煩雑ですが
SQL認証にしておけば、最初からデータベースで管理
できるのでメンテナンス性があがります。
会員情報自体もSQLで管理できるなら圧倒的にそのほうが
楽になります。
もちろん認証はBASICでユーザー情報管理はSQLでおこなう
こともできないことはないですが・・・

この回答へのお礼

ご丁寧にお答えいただきまして誠にありがとうございます。
有料コンテンツが多少漏れることはそれほど問題ではありませんのでＳＳＬはなしにしようと思います。
多少初期料金はかかってしまいますが、ＳＱＬ認証にしたほうがどうやらいいという結論になりました。

お礼日時：2006/10/10 05:54

No.1 回答者： yambejp 回答日時： 2006/10/09 13:33

前提としてSSLで運用されるのですよね？

そうでなければBASIC認証は有料サイトのセキュリティ
ポリシーとしては不適格です。
まぁSQL認証は仕組的にはBASIC認証なので、SQL認証
にしたからといって違いはないですが・・・・。
Digest認証がよいとも聞きますが、わたしの知識の
範疇にないのでお勧めする立場にはありません。

Q1.不都合
メンテナンスがめんどくさいというところでしょうか。

Q2.有効性
アクセス制限はフォルダ単位でかかります。ネストする
ので親フォルダにかけてあれば、サブフォルダまで
有効です
メンテナンスさえきちんとしていれば退会者をはじく
ことは可能です。

この回答へのお礼

アドバイスいただきまして大変ありがとうございます。

ＳＳＬとは？で調べてみました。よくクレジットカード番号を打ち込む際についてあるベリサインや日本ジオトラスト社などの暗号通信。というイメージしかないのですが、ＢＡＳＩＣ認証にする場合にはＳＳＬで運用するのが基本。という認識でよろしいでしょうか？

「セキュリティポリシーとしては不適格」についてですが、ＳＳＬで運用しない場合、暗号化しておかないと場合によってはこちらが提供する会員のための有料情報が他人に覗かれてしまい、盗聴や改ざんされてしまう危険性があるといことでしょうか？もしくは会員の住所や氏名などの個人情報が他人に覗かれてしまうということでしょうか？見当違いの質問でしたらすみません。

「メンテナンスがめんどくさい」についてですが、どのようなメンテナンスを行うのか、どれくらいの頻度で行うのか、もしお聞かせ願えるのでしたらありがたいです。
こちら（サイト管理人）で会員入会者を毎日登録設定、月末にまとめて退会者を登録解除を行うつもりです。そういったメンテナンスではなく、よくレンタルサーバーなどが定期的に行うシステムがうまく起動するようにメンテナンスする。という意味でしょうか？
よろしくお願いいたします。

お礼日時：2006/10/09 16:19