Security」タグアーカイブ

urllibでBasic認証やDigest認証を使うサンプル

コメントを残す

urllibでBasic認証を使うサンプル

>>> import urllib2
>>> mgr = urllib2.HTTPPasswordMgrWithDefaultRealm()
>>> mgr.add_password(None, 'http://example.com/', 'username', 'password')
>>> auth_handler = urllib2.HTTPBasicAuthHandler(mgr)
>>> opener = urllib2.build_opener(auth_handler)
>>> opener.open('http://example.com/').read()

urllibでDigest認証を使うサンプル

>>> import urllib2
>>> mgr = urllib2.HTTPPasswordMgrWithDefaultRealm()
>>> mgr.add_password(None, 'http://example.com/', 'username', 'password')
>>> auth_handler = urllib2.HTTPDigestAuthHandler(mgr)
>>> opener = urllib2.build_opener(auth_handler)
>>> opener.open('http://example.com/').read()

ロリポップのWordPressへの大規模な攻撃

コメントを残す

ロリポップでWordPressを利用しているサイトに対しての攻撃が確認されているようです。

2013/08/30
当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について
https://lolipop.jp/info/news/4149/

WordPressやそのPluginの脆弱性を狙った攻撃なようなので、ロリポップ自身に何か問題がある訳ではなさそうです。ただ、心配な人もいると思いますので、下記リンクなどを参考にしてみてはいかがでしょうか。

サイト改ざんへの対策をお願いいたします – ロリポップ!レンタルサーバー
https://lolipop.jp/security/index.php

WEBサイトが改ざんされてしまったら? / サイト改ざんへの対策 – ロリポップ!レンタルサーバー
https://lolipop.jp/security/sol.php

追記

WordPressの脆弱性だけではなく、ロリポップ側にも問題があったという話もあります。

.htaccessとwp-config.phpの初期パーミッションの問題
http://d.hatena.ne.jp/connect24h/20130830

MySQLサーバーにグローバルから接続が可能
http://d.hatena.ne.jp/ozuma/20120503/1335975957

詳細はよく分かりませんが、十分に注意してください。

htaccessとhtpasswdを使ったBasic認証の設定

コメントを残す

Basic認証は安全性に問題があり本格的に使うことは稀と思いますが、簡単に設置できるので簡易的なアクセス管理に便利です。

.htpasswdの作成

SSHなどで設置先のサーバーにログインできるという前提で説明します。

SSHでログインできない場合は、ローカルPCなどで.htpasswdを作成してアップロードすることになります。

新規作成

以下はlolipopというユーザー名で作成するサンプルです。

パスワードを聞かれますので、入力してください。

$ htpasswd -c .htpasswd lolipop
New password:
Re-type new password:
Adding password for user lolipop

作成される.htpasswdは次のようになります。

$ cat .htpasswd
lolipop:$apr1$hgHnvE.E$NAxrrnRVtg94iwPYHRpZT0

追加

lolipopというユーザー名を追加するサンプルです。

$ htpasswd lolipop
New password:
Re-type new password:
Adding password for user lolipop

.htaccessの設定

アクセス制限をかけたい場所に.htaccessを置きます。 /var/www/localhost/htdocs/.htpasswdは、実際には.htpasswdが置かれているパスに書き換えてください。

AuthUserFile /var/www/localhost/htdocs/.htpasswd
AuthName "example"
AuthType Basic
require valid-user

.htpasswd.htaccessに直接アクセスされないように次のアクセス制限も追加できます。(/etc/apache2/httpd.confなどで設定されている場合は不要です。)

<Files ~ "^.(htpasswd|htaccess)$">
  deny from all
</Files>

ローカルPCにhtpasswd実行環境がない場合は、.htpasswd作成ツール(サーバー移転に伴いサービス終了しました)などでも作成できます。