こんばんわ。
TOMOROHです。
前回、ちょっと横道にそれてしまいましたのですが、それはまあそれで。
さて、今回はクライアントとサーバと両方に関係します。
まず、クライアント側。
ホームページを公開するにあたり、通常レンタルサーバ(有償/無償)や契約されているプロバイダが思いつくと思います。
そして、ホームページをそのサーバへアップロードするソフトが、FTPソフト呼ばれるソフトです。
(まあ、ここを読んでる人は既にわかってると思いますが)
FTPソフトについては、いくつか種類があり、一般的なものが
ホームページビルダーについているFTPソフト
FFFTP
といったところでしょうか?
このFTPについては、通信手順について種類があり
FTP → 平文でデータのやりとり
SFTP→ SSHでトンネルのようなものをつくり、その中で平文でデータのやりとり
FTPS→ 通信を暗号化しデータのやりとり
安全性から言えば、
FTPS>SFTP>FTP
となります。
ということで、FTPSに対応している安全性の高いホーム更新用ソフトは?
フリーソフトはほぼ全滅。(つまり皆無に等しい)
唯一、「Filezilla」
ということになるのですが、オープンソースのためパソコン内にパスワードを平文で保存します。ついでに言うと、これ仕様らしいです。
仕方ないので、セキュリティ的には毎回セッション単位でパスワードを入力することになるかと。
ということで、有償のFTPソフトとなるのですが、
「NextFTP」
などが一般的でしょうか?
こちらは、いわゆる「gumblar」系のウイルスには無縁なようですが、作者も言われるているとおり、標的になっていないだけでパスワード管理はきちんとすべきであるということです。
で。
騒ぐだけ騒いでおいて、サーバ側のセキュリティについて一切説明がないので、いくつか。
でサーバ側。
クライアント側がいくらセキュリティを意識しても、サーバ側が対応していなければ意味がありません。
ですので、サーバ側がFTPSと呼ばれる通信に対応している必要があります。
最近、一般的なところは全て対応しているかと思いますが。
で、これだけで終わると寂しいので追加事項を。
Webサーバのセキュリティを考えた場合、403エラーや503エラーを返す際、サーバにインストールされているソフトウェアを教えてくれるサーバが今だにあります。
これ、セキュリティ的にいうと、かなりNG。
こんなサーバを利用してる方は、セキュリティ意識がない管理者が管理しているという判断になり、ハッカーなどに狙われる原因になります。
もし、そのようなサーバを利用している人がいれば乗換えを考えられることをお勧めします。