質問
- ファイルマネージャーがスターサーバートップからログイン
-
本文:
ファイルマネージャーがスターサーバートップ画面からログインできますよね?
https://www.star.ne.jp/←ここです
FTPアカウントとFTPパスワードの入力でログインできますが
FTPアカウントはドメイン名ですから
FTPパスワードのみをツールで総当たりされたら
ログインされてしまう可能性はあると思うのですが
セキュリティ対策は大丈夫でしょうか?
ドメインは少し調べればどこのサーバー使っているかわかりますから
ドメイン名とパスだけで入れるのは脆弱性が高くないですか? - 緊急度:通常投稿者:ミミズクさん投稿時間:2021/03/02 17:37
回答 No.10938
-
本文:
自己レスですが、
メンバー管理ツールのログインにTOTP導入は、エックスサーバーなどと同様で、やれるように改修するのは技術的には可能なはず。
問題は、FTPのほう。生のFTPにはTOTPとかない。
なにせ、そもそもFTP自体が時代遅れなしくみだ、ということが明らかにあります。
パスワードではなく、「鍵」データで入らせるシステムのほうが強度は上がるはず(例えば sftp とか git+ssh とか)。ところがそうすると今度は、初心者にはハードルが上がる。
ブラウザ上でのみにして、FTPクライアント非対応にすると初心者向けですが、これはまとめてデータ転送したいときに面倒くさかったり。
(たぶん、いまの時代はもう、レンタルサーバ自体からしてもすでに、ハードル高いのかもしれません。)
- 投稿者:ayaguchiさん 投稿時間:2021/03/03 01:46
クラウド型高速レンタルサーバー
無料レンタルサーバー
無料サーバー付きドメインサービス
格安SSL証明書
回答 No.10937
この回答がベストアンサーです
> ドメイン名とパスだけで入れるのは脆弱性が高くないですか?
確かに否定はしきれません。
TOTPなどがあったほうがよりよいと思います。ネットオウルはちょっと遅れています。
(たぶん、システムを大胆に改修するのが大変で、
エックスサーバー社のサービスレベル向上が優先で、その後を追っているような感じかと。)
ただ、ログイン試行回数やペースの制限だとか、発信元IPアドレスをみての制限とかは、かかっているはずだと思います。
それとてもそれは、ボットネットとかで発信元をいちいちかえて、ダラダラと時間をかけて、リバースブルートフォースアタックでもやれば、いつか破れる可能性は、あるような気はします。(ゆうちょ銀行や地方銀行などがやられて不正チャージに利用された事件と同じで。)
究極的には、サーバー管理ツールで、FTPログインを普段は無効にしておいて、使うときだけ有効に変えるというのも考えられます。そこまで几帳面で神経質なケースはかなり少ないと思いますが、そうしている人もいるはずです。
質問者からのコメント
ayaguchiさん ありがとうございます。
さすがにIP見て何度かログイン失敗したら弾くぐらいはしてますかね。
それならとりあえず大丈夫かなと思いました。
管理ツールで、FTPログインを無効にできることに気が付いていませんでした。
必要に応じて切り替える事ができて、ここで安全は保たれているということですね。
ありがとうございました、助かりました。