VPSサーバーでWebサイト公開 備忘録 ~Linux、MySQLからAJAXまで

Apacheで不要なモジュールはロードしない(2)ダイジェスト認証

Apacheのダイジェスト認証はセキュリティ上のリスクがあるので無効にした方が良いようです。

下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
 
Apacheのダイジェスト認証は、mod_auth_digestモジュールによって提供されます
 
パスワードを暗号化せず平分で送信するベーシック認証の代替としての利用が期待されていましたが、ベーシック認証と比べてそれほど大きなセキュリティ上の優位性はないようです。
 
そしてサーバー上にパスワードを保存するということでもベーシック認証と比べてセキュリティ上の優位性は低いようです。
 
暗号化して認証するにはSSLなどを使用する事が推奨されるので、このモジュールは使用しないようにします。
 
下記のようにコメントアウトします。
 
#LoadModule auth_digest_module modules/mod_auth_digest.so

モバイルバージョンを終了