web-dev-qa-db-ja.com

WebDAVのセキュリティと強化

WebDAV の使用を検討する際に注意する必要があるセキュリティ上の影響は何ですか?どうやってそれを確保するのですか?他に何を知っておくべきですか?

4
John

WebDav自体にはセキュリティがありません。誰でも何にでも触れることができます。標準ドキュメントでは、これはWebサーバー層(またはWebDAVサービスを提供している場合はアプリケーション)で処理する必要があると記載されています。

認証
WebDAVにはネイティブ認証サービスがないため、その前に配置する必要があります。使用しているdavモジュールに応じて、異なるWebサーバーがこれを異なる方法で処理します。サーバー固有のモジュール(mod_dav)は、Tomcatなどのアプリサーバーに基づくモジュールとは動作が異なります。これは通常のHTTP認証のものです。基本、ダイジェスト、SASL、Kerberosなど。

[〜#〜] https [〜#〜]
認証はそれなしでは暗号化されないため(IISベースのwebdavとNTLMを実行している場合を除く)、ファイルは暗号化されて転送されません。

ローカル認証
WebDAVを駆動しているものに応じて、ファイルをドロップする実際のOSユーザーに注意してください。 Davサーバーが実際のユーザーになりすます場合もあれば、すべて1人のユーザーがファイルをドロップする場合もあり、ユーザーがアクセスしてはならないファイルからユーザーを遠ざけるのはアプリケーション次第です。

4
sysadmin1138

これは基本的に、リソースを変更できるHTTPのセキュリティ保護と同じです。HTTPSを実装し、認証(パスワードまたはクライアント証明書)を要求します。

1
mgorven