[英]How secure is htaccess authentication
我需要使用用戶名和密碼保護客戶端CMS,僅需要一個用戶名。 我打算使用htaccess,因為它是如此之快地添加。
我將使用WHM中的密碼目錄功能添加該密碼,該功能將密碼存儲在此處:AuthUserFile“ /home/username/.htpasswds/public_html/cms/passwd”
這有多安全? 有沒有辦法進入.htpasswds等文件夾?
直接來自Apache的文檔
最常見的方法是Basic,這是由mod_auth_basic實現的方法。 但是,重要的是要知道,基本身份驗證會將密碼從客戶端發送到服務器的密碼未經加密。 因此,除非伴隨mod_ssl,否則此方法不應用於高度敏感的數據。 Apache支持另一種身份驗證方法:AuthType摘要。 此方法由mod_auth_digest實現,並且更加安全。 最新的瀏覽器支持摘要式身份驗證。
請在這里閱讀其余內容
您應該拒絕訪問包含passwd
文件的文件夾
<Directory /home/*>
Order allow,deny
Deny from all
Satisfy all
</Directory>
也不要忘記可以捕獲HTTP流量,因此它不適用於金融交易。
只要您在httpd.conf文件中設置適當的限制以阻止對.htaccess和.htpasswd的外部請求,您就可以了。
您可以使用以下指令阻止外部請求(在Apache中):
# The following code hides .htaccess and .htpasswd files from sites visitors.
<FilesMatch "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</FilesMatch>
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.