разъясните по секурности -.htpasswd.htaccess
2449
7
секурно или не секурно и какие слабые места у этих файлов, если я захотел закрыть каталог на сайте этими файлами
решил именно этим вариантом закрыть доступ в каталогу
Секурно, в том смысле, что слабостей у такого метода защиты нет. Это просто инструкции апачу для проведения http авторизации, от дыр ни один метод не застрахован, так что периодически нужно смотреть патчи, собственно как и везде. Единственное проверь, что после авторизации эти файлы скачать нельзя (хотя апач наверное и так по умолчанию этого делать не дает). Из минусов (хотя я думаю это не минус, а особенность) - этот метод защиты только для простенького сайта. Для большого портала/многопользовательского ресурса имхо нужно делать авторизацию другим методом.
Ниже пара общих коментов по секурности:
1. Для пущей секурности пускай в каталог только через https (по моему можно выставать в настройках апача, чтобы апач сам проводил относительно простое криптование, которые конечно не такое сильное как ssl но в любом случае это лучше чем просто передавать данные в открытом виде )
2. Насколько мне известно апач не вставляет временную задержку при вводе неправильного пароля, что теоретически позволяет провести его подбор, но учитывая, что сетевой доступ не очень быстр сам по себе, эта проблема автоматом снимается, хотя с машины в одной сетке с твоей это скорее всего возможно.
Просто оцени какова значимость твоей информации. Для большинства случаев пункты 1 и 2 несущественны.
Ниже пара общих коментов по секурности:
1. Для пущей секурности пускай в каталог только через https (по моему можно выставать в настройках апача, чтобы апач сам проводил относительно простое криптование, которые конечно не такое сильное как ssl но в любом случае это лучше чем просто передавать данные в открытом виде )
2. Насколько мне известно апач не вставляет временную задержку при вводе неправильного пароля, что теоретически позволяет провести его подбор, но учитывая, что сетевой доступ не очень быстр сам по себе, эта проблема автоматом снимается, хотя с машины в одной сетке с твоей это скорее всего возможно.
Просто оцени какова значимость твоей информации. Для большинства случаев пункты 1 и 2 несущественны.
zero divisor
activist
по сути ответ верен, но в деталях - мягко говоря, не совсем корректен.
1. никакого "относительно простого криптования" в апаче нет. либо есть mod_ssl, либо его нет, третьего не дано. собственно, его и в протоколе-то не предусмотрено.
2. HTTP - stateless протокол. запросы абсолютно независимы. "временная задержка" помогла бы только от перебора "руками" (никто не запретит делать перебор в большее число потоков).
3. никакие патчи смотреть не надо. нет, теоретически можно облажаться и в имплементации HTTP AUTH проверки, но это настолько маловероятно...
Nook
да, для озвученной задачи это самый простой и оптимальный способ. если есть возможность, файл .htpasswd лучше положить вне document root (кстати, его вовсе не обязательно называть именно так).
кстати, если не секрет, причем тут программирование?
1. никакого "относительно простого криптования" в апаче нет. либо есть mod_ssl, либо его нет, третьего не дано. собственно, его и в протоколе-то не предусмотрено.
2. HTTP - stateless протокол. запросы абсолютно независимы. "временная задержка" помогла бы только от перебора "руками" (никто не запретит делать перебор в большее число потоков).
3. никакие патчи смотреть не надо. нет, теоретически можно облажаться и в имплементации HTTP AUTH проверки, но это настолько маловероятно...
Nook
да, для озвученной задачи это самый простой и оптимальный способ. если есть возможность, файл .htpasswd лучше положить вне document root (кстати, его вовсе не обязательно называть именно так).
кстати, если не секрет, причем тут программирование?
по сути ответ верен, но в деталях - мягко говоря, не совсем корректен.Имелся ввиду Base64, который поддерживается всеми браузерами. Лень смотреть маны, но я бы очень удивился если апачу нельзя сказать проводить HTTP авторизацию с Base64.
1. никакого "относительно простого криптования" в апаче нет. либо есть mod_ssl, либо его нет, третьего не дано. собственно, его и в протоколе-то не предусмотрено.
С остальным согласен.
3. никакие патчи смотреть не надо. нет, теоретически можно облажаться и в имплементации HTTP AUTH проверки, но это настолько маловероятно...Ну я видел как то пару раз в сообщениях что то похожее на переполнение буфера при http авторизации. Но это уже скорее к вопросам религии относится - проверять или нет патчи и насколько часто.
Anomander
guru
> 2. HTTP - stateless протокол. запросы абсолютно независимы. "временная задержка" помогла бы только от перебора "руками" (никто не запретит делать перебор в большее число потоков).
Не понимаю, какая проблема установить задержку по логину. Пусть потоков будет хоть тысяча, между двумя попытками логина на одно и то же имя будет проходить пять секунд, и не миллисекундой меньше.
P.S. Это - желаемая, а не реальная фича.
Не понимаю, какая проблема установить задержку по логину. Пусть потоков будет хоть тысяча, между двумя попытками логина на одно и то же имя будет проходить пять секунд, и не миллисекундой меньше.
P.S. Это - желаемая, а не реальная фича.
Сейчас читают
Воскресный папа
34147
183
А, знаете, как будет происходить Переход?
97985
349
КОФЕЙНЯ (часть 8)
117025
1000