web-dev-qa-db-ja.com

auth_basicよりも安全なNGINX認証

私は、NGINXのリバースプロキシに対して最も安全な認証方法を考え出そうとしています。これまでngx_http_auth_basic_moduleを問題なく使用してきましたが、 この設定には明らかなセキュリティ上の影響があるようです 。私のサイトは厳密にSSLで動作しているため、これらのセキュリティ問題のほとんどはそれほど大きな問題ではありません。できる限りセキュリティを確保したいと思っています。

NGINXに代わる優れた認証メカニズムはありますか?

私は何に対してもオープンです。これは公共サービスではありません。

7
Ryan Foley

NGINXにはダイジェスト認証モジュールがあります: https://www.nginx.com/resources/wiki/modules/auth_digest/

基本認証とは異なり、ダイジェスト認証はインターネット経由でユーザー名とパスワードをプレーンテキストで送信しません。

サイトがSSLonlyの場合、基本認証はおそらく問題ありません。 SSLは、ユーザー名とパスワードを含むセッション全体を暗号化します。

3

質問は2歳ですが、引き続き回答したいと思います。

受け入れられた回答( https://www.nginx.com/resources/wiki/modules/auth_digest/ )によってリンクされているページは11歳で、「...(it)is運用環境で使用するのに十分安全であると見なされる前に、より広範なテストが必要です。」

GitHubページ( https://github.com/atomx/nginx-http-auth-digest )もリンクされており、著者の最近のアドバイス(2017年4月)には「Theモジュールは現在機能していますが、作成者によってテストおよびレビューされているだけです。これがセキュリティコードであることを考えると、100%正しいことを保証するのにほぼ間違いなく不十分です。

したがって、私の結論は、受け入れられた答えは非常に興味深いモジュールを提供するものであり、残念ながら機密データの保護にはお勧めできません。

5
Moi Jaiunvelo