Погода: −5 °C
17.02−10...−5переменная облачность, небольшой снег
18.02−13...−4переменная облачность, без осадков
Пробки: 2 балла
НГС.Форум /Компьютеры Интернет Связь / Программирование /

разъясните по секурности -.htpasswd.htaccess

ПечатьRSSДеревом

  • секурно или не секурно и какие слабые места у этих файлов, если я захотел закрыть каталог на сайте этими файлами

    НовосибиреЦ

  • Ответ на сообщение разъясните по секурности -.htpasswd.htaccess пользователя NoooK

    решил именно этим вариантом закрыть доступ в каталогу

    НовосибиреЦ

  • Ответ на сообщение разъясните по секурности -.htpasswd.htaccess пользователя NoooK

    Секурно, в том смысле, что слабостей у такого метода защиты нет. Это просто инструкции апачу для проведения http авторизации, от дыр ни один метод не застрахован, так что периодически нужно смотреть патчи, собственно как и везде. Единственное проверь, что после авторизации эти файлы скачать нельзя (хотя апач наверное и так по умолчанию этого делать не дает). Из минусов (хотя я думаю это не минус, а особенность) - этот метод защиты только для простенького сайта. Для большого портала/многопользовательского ресурса имхо нужно делать авторизацию другим методом.

    Ниже пара общих коментов по секурности:

    1. Для пущей секурности пускай в каталог только через https (по моему можно выставать в настройках апача, чтобы апач сам проводил относительно простое криптование, которые конечно не такое сильное как ssl но в любом случае это лучше чем просто передавать данные в открытом виде )
    2. Насколько мне известно апач не вставляет временную задержку при вводе неправильного пароля, что теоретически позволяет провести его подбор, но учитывая, что сетевой доступ не очень быстр сам по себе, эта проблема автоматом снимается, хотя с машины в одной сетке с твоей это скорее всего возможно.

    Просто оцени какова значимость твоей информации. Для большинства случаев пункты 1 и 2 несущественны.

  • Ответ на сообщение Re: разъясните по секурности -.htpasswd.htaccess пользователя Почтальон Печкин

    по сути ответ верен, но в деталях - мягко говоря, не совсем корректен.

    1. никакого "относительно простого криптования" в апаче нет. либо есть mod_ssl, либо его нет, третьего не дано. собственно, его и в протоколе-то не предусмотрено.

    2. HTTP - stateless протокол. запросы абсолютно независимы. "временная задержка" помогла бы только от перебора "руками" (никто не запретит делать перебор в большее число потоков).

    3. никакие патчи смотреть не надо. нет, теоретически можно облажаться и в имплементации HTTP AUTH проверки, но это настолько маловероятно...

    Nook

    да, для озвученной задачи это самый простой и оптимальный способ. если есть возможность, файл .htpasswd лучше положить вне document root (кстати, его вовсе не обязательно называть именно так).

    кстати, если не секрет, причем тут программирование?

  • Ответ на сообщение Re: разъясните по секурности -.htpasswd.htaccess пользователя zero divisor

    В ответ на: по сути ответ верен, но в деталях - мягко говоря, не совсем корректен.

    1. никакого "относительно простого криптования" в апаче нет. либо есть mod_ssl, либо его нет, третьего не дано. собственно, его и в протоколе-то не предусмотрено.
    Имелся ввиду Base64, который поддерживается всеми браузерами. Лень смотреть маны, но я бы очень удивился если апачу нельзя сказать проводить HTTP авторизацию с Base64.
    С остальным согласен.

  • Ответ на сообщение Re: разъясните по секурности -.htpasswd.htaccess пользователя zero divisor

    В ответ на: 3. никакие патчи смотреть не надо. нет, теоретически можно облажаться и в имплементации HTTP AUTH проверки, но это настолько маловероятно...
    Ну я видел как то пару раз в сообщениях что то похожее на переполнение буфера при http авторизации. Но это уже скорее к вопросам религии относится - проверять или нет патчи и насколько часто.:улыб:

  • Ответ на сообщение Re: разъясните по секурности -.htpasswd.htaccess пользователя zero divisor

    > 2. HTTP - stateless протокол. запросы абсолютно независимы. "временная задержка" помогла бы только от перебора "руками" (никто не запретит делать перебор в большее число потоков).

    Не понимаю, какая проблема установить задержку по логину. Пусть потоков будет хоть тысяча, между двумя попытками логина на одно и то же имя будет проходить пять секунд, и не миллисекундой меньше.

    P.S. Это - желаемая, а не реальная фича.

    Исправлено пользователем Anomander (07.09.05 07:02)

  • Ответ на сообщение Re: разъясните по секурности -.htpasswd.htaccess пользователя Anomander

    А можно проинструктировать апач делать задержку стандартными средствами?

Записей на странице:

НГС.Форум /Компьютеры Интернет Связь / Программирование /
Перейти в форум

Модератор:
Наверх
SHKULEV HOLDING
Подробности...
Сетевое издание «93.ру» (18+).
Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Свидетельство о регистрации СМИ ЭЛ № ФС 77-84682 от 06.02.2023 г.
Учредитель: Общество с ограниченной ответственностью «ИНТЕРНЕТ ТЕХНОЛОГИИ»
Главный редактор: Филипцева Мария Сергеевна
Адрес редакции: 454091, г. Челябинск, проспект Ленина, 26А, стр.2, 16 этаж, +7 (351) 7-0000-74
Электронный адрес редакции: rednews@iportal.ru
Контактные данные для Роскомнадзора и государственных органов: juristchel@iportal.ru
Техподдержка: help@shkulev.ru
Публикации с пометкой «На правах рекламы», «Партнёрский проект», «Новости телекома», «Новости компаний», «Выборы-2019» и «Выборы-2020» оплачены рекламодателем. Редакция сайта не несет ответственности за достоверность информации, содержащейся в рекламных объявлениях.

Информация об ограничениях

Политика использования cookies
Политика конфиденциальности и обработки персональных данных и правила использования сайта