htaccess身份驗證的安全性
[英]How secure is htaccess authentication
問題描述
我需要使用用戶名和密碼保護客戶端CMS,僅需要一個用戶名。 我打算使用htaccess,因為它是如此之快地添加。
我將使用WHM中的密碼目錄功能添加該密碼,該功能將密碼存儲在此處:AuthUserFile“ /home/username/.htpasswds/public_html/cms/passwd”
這有多安全? 有沒有辦法進入.htpasswds等文件夾?
3 個解決方案
解決方案1
3 已采納 2011-02-25 16:11:45
直接來自Apache的文檔
最常見的方法是Basic,這是由mod_auth_basic實現的方法。 但是,重要的是要知道,基本身份驗證會將密碼從客戶端發送到服務器的密碼未經加密。 因此,除非伴隨mod_ssl,否則此方法不應用於高度敏感的數據。 Apache支持另一種身份驗證方法:AuthType摘要。 此方法由mod_auth_digest實現,並且更加安全。 最新的瀏覽器支持摘要式身份驗證。
請在這里閱讀其余內容
解決方案2
2 2011-02-25 15:18:41
您應該拒絕訪問包含passwd文件的文件夾
<Directory /home/*>
Order allow,deny
Deny from all
Satisfy all
</Directory>
也不要忘記可以捕獲HTTP流量,因此它不適用於金融交易。
解決方案3
0 2011-02-25 15:18:32
只要您在httpd.conf文件中設置適當的限制以阻止對.htaccess和.htpasswd的外部請求,您就可以了。
您可以使用以下指令阻止外部請求(在Apache中):
# The following code hides .htaccess and .htpasswd files from sites visitors.
<FilesMatch "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</FilesMatch>
安全令牌 URL - 它有多安全? 代理身份驗證作為替代方案?
[英]Secure Token URL - How secure is it? Proxy authentication as alternative?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.