那些遇到过的问题

Apache 文件夹密码保护的安全性如何?

Mat*_*jsG -3 .htaccess apache2

Apache 文件夹密码保护的安全性如何?当然,安全性是相对的,并且取决于其他变量,例如服务器的其余部分等。

但只放大了 .htaccess 中的文件夹保护:这是一种安全的方法吗?是否存在已知的大洞?

Jon*_*Lin 5

我假设您指的是AuthType用于创建密码保护目录的指令集。

您可以采取一些措施来使其“更安全”

  1. 使用 DIGEST 方法而不是 BASIC 进行AuthType. BASIC 身份验证将用户名和密码作为 base64 编码字符串传递。DIGEST 使用随机数和 MD5,因此永远不会传输实际密码。

  2. 确保您的 htpasswd/htdigest 文件不在 Web 文档根目录中,否则有人可能可以通过 apache 访问它(例如http://example.com/.htpasswd

  3. 如果必须使用 BASIC 身份验证,请考虑使用 SSL

  4. 与基于会话的身份验证不同,登录的用户将保持登录状态,直到浏览器关闭。没有会话超时。除了强制 401/403 欺骗浏览器认为其身份验证不正确之外,您对此无能为力

附加信息:http://httpd.apache.org/docs/2.2/howto/auth.html

归档时间:

查看次数:

1780 次

最近记录:

13 年,1 月 前
相关归档
mod_rewrite和GoDaddy 11
控制缓存过期 6
如何使用 .htaccess 在 Apache 后面运行我的 NodeJS 服务器? 5
apache2: 权限被拒绝: AH00072: make_sock: 无法绑定到地址 0.0.0.0:80 没有可用的侦听套接字,正在关闭 5
使用htaccess在URL中获取两个变量 4
Htaccess - Http身份验证 - 为什么这个块会导致500错误? 4
隐藏子域的子文件夹 4
.htaccess - 没有请求的URI时 3
如何正确进行301重定向 3
.htaccess域重定向 1
难疑归档
应该在JavaScript比较中使用哪个等于运算符(== vs ===)? 5666
如何让Git"忘记"一个被跟踪但现在位于.gitignore的文件? 4888
不同浏览器中URL的最大长度是多少? 4676
如何使div不大于其内容? 1960
垂直对齐图像旁边的文字? 1881
使用其名称(字符串)调用模块的函数 1580
如何检查字符串是否为数字(浮点数)? 1519
使用JavaScript/jQuery滚动到页面顶部? 1511
从Git提交中删除文件 1484
如何在同一分支上的两个不同提交之间区分相同的文件? 1077