Apache文件夹密码保护的安全性如何?当然,安全性是相对的,取决于其他变量,如服务器的其余部分等等。
但是只放大了.htaccess中的文件夹保护:这是一种安全的方式吗?有没有已知的大洞?
答案 0 :(得分:4)
我假设您指的是用于创建受密码保护的目录的AuthType指令集。
您可以采取一些措施使其“更安全”。
用户DIGEST方法代替AuthType的BASIC。 BASIC身份验证将用户名和密码作为base64编码的字符串传递。 DIGEST使用随机数和MD5,因此实际密码永远不会传输。
确保您的htpasswd / htdigest文件不在Web文档根目录中,否则有人可能通过apache访问它(例如http://example.com/.htpasswd)
如果您必须使用BASIC身份验证,请考虑使用SSL
与基于会话的身份验证不同,登录的用户将保持登录状态,直到浏览器关闭。没有会话超时。除了可能强迫401/403欺骗浏览器认为其身份验证不正确之外,你无能为力呢