5°C
завтра: 5°C
Погода в Перми
5°C
вечером4°C
ночью−4°C
завтра5°C
Подробно
 63,95
−0.2972
Курс USD ЦБ РФна 18 апреля
63,9450
−0.2972
 72,36
−0.2913
Курс EUR ЦБ РФна 18 апреля
72,3602
−0.2913
PRM.Форум /Компьютеры Интернет Связь / Программирование /

разъясните по секурности -.htpasswd.htaccess

  • experienced

    Сообщений: 692

    секурно или не секурно и какие слабые места у этих файлов, если я захотел закрыть каталог на сайте этими файлами

    НовосибиреЦ

  • experienced

    Сообщений: 692

    решил именно этим вариантом закрыть доступ в каталогу

    НовосибиреЦ

  • Почтальон Печкин

    Анонимный пользователь

    Секурно, в том смысле, что слабостей у такого метода защиты нет. Это просто инструкции апачу для проведения http авторизации, от дыр ни один метод не застрахован, так что периодически нужно смотреть патчи, собственно как и везде. Единственное проверь, что после авторизации эти файлы скачать нельзя (хотя апач наверное и так по умолчанию этого делать не дает). Из минусов (хотя я думаю это не минус, а особенность) - этот метод защиты только для простенького сайта. Для большого портала/многопользовательского ресурса имхо нужно делать авторизацию другим методом.

    Ниже пара общих коментов по секурности:

    1. Для пущей секурности пускай в каталог только через https (по моему можно выставать в настройках апача, чтобы апач сам проводил относительно простое криптование, которые конечно не такое сильное как ssl но в любом случае это лучше чем просто передавать данные в открытом виде )
    2. Насколько мне известно апач не вставляет временную задержку при вводе неправильного пароля, что теоретически позволяет провести его подбор, но учитывая, что сетевой доступ не очень быстр сам по себе, эта проблема автоматом снимается, хотя с машины в одной сетке с твоей это скорее всего возможно.

    Просто оцени какова значимость твоей информации. Для большинства случаев пункты 1 и 2 несущественны.

  • activist

    Сообщений: 272

    по сути ответ верен, но в деталях - мягко говоря, не совсем корректен.

    1. никакого "относительно простого криптования" в апаче нет. либо есть mod_ssl, либо его нет, третьего не дано. собственно, его и в протоколе-то не предусмотрено.

    2. HTTP - stateless протокол. запросы абсолютно независимы. "временная задержка" помогла бы только от перебора "руками" (никто не запретит делать перебор в большее число потоков).

    3. никакие патчи смотреть не надо. нет, теоретически можно облажаться и в имплементации HTTP AUTH проверки, но это настолько маловероятно...

    Nook

    да, для озвученной задачи это самый простой и оптимальный способ. если есть возможность, файл .htpasswd лучше положить вне document root (кстати, его вовсе не обязательно называть именно так).

    кстати, если не секрет, причем тут программирование?

  • Почтальон Печкин

    Анонимный пользователь

    В ответ на: по сути ответ верен, но в деталях - мягко говоря, не совсем корректен.

    1. никакого "относительно простого криптования" в апаче нет. либо есть mod_ssl, либо его нет, третьего не дано. собственно, его и в протоколе-то не предусмотрено.
    Имелся ввиду Base64, который поддерживается всеми браузерами. Лень смотреть маны, но я бы очень удивился если апачу нельзя сказать проводить HTTP авторизацию с Base64.
    С остальным согласен.

  • Почтальон Печкин

    Анонимный пользователь

    В ответ на: 3. никакие патчи смотреть не надо. нет, теоретически можно облажаться и в имплементации HTTP AUTH проверки, но это настолько маловероятно...
    Ну я видел как то пару раз в сообщениях что то похожее на переполнение буфера при http авторизации. Но это уже скорее к вопросам религии относится - проверять или нет патчи и насколько часто.:улыб:

  • guru

    Сообщений: 5269

    > 2. HTTP - stateless протокол. запросы абсолютно независимы. "временная задержка" помогла бы только от перебора "руками" (никто не запретит делать перебор в большее число потоков).

    Не понимаю, какая проблема установить задержку по логину. Пусть потоков будет хоть тысяча, между двумя попытками логина на одно и то же имя будет проходить пять секунд, и не миллисекундой меньше.

    P.S. Это - желаемая, а не реальная фича.

    Исправлено пользователем Anomander (07.09.05 09:02)

  • Почтальон Печкин

    Анонимный пользователь

    А можно проинструктировать апач делать задержку стандартными средствами?

Записей на странице:

Перейти в форум

Модератор: