我们的高级开发人员告诉我,Apache Realms(使用.htaccess文件或httpd配置)是不安全的,因此在任何类型的管理后端系统中使用都是不好的做法。这是真的吗?
我看到它的方式,无论如何人们都无法看到apache下的任何.htxxx文件,那么有人怎么能绕过一个Realm呢?当然,如果他们在你的服务器内,那么他们可以随心所欲地做,但是在这一点上,任何安全都是不安全的,对吧?
是否有任何黑客或绕过领域?他们不安全吗?
如果是这样,示例将很有用。
答案 0 :(得分:2)
以下是http基本身份验证的一些常见缺点,没有特别的顺序,也没有特别的认可。
使用apache作为您的安全层意味着操作人员负责关键层而不是开发人员。这可能意味着绕过代码审查和其他措施,具体取决于您所在部门的设置。
使用领域意味着您容易受到各种众所周知的攻击,而自定义登录php解决方案可能更加模糊,不太可能被探测。 (也许)
apache领域依赖于具有众所周知格式的特定知名文件,这意味着任何涉及向系统添加或编辑文件的缺陷都可能会影响您的登录
apache领域也可能通过shell命令受到攻击,这意味着任何涉及exec或系统的漏洞都可能危及您的登录
apache领域容易受到暴力攻击,因为它们不支持验证码或速率限制
盗窃您的密码文件意味着可能会破坏您的所有密码,如果您拥有大量用户,可能会导致很多麻烦。
拥有敏感密码文件可能会使部署,备份等变得复杂
以上所有问题都是可以处理的,而且与大多数安全论据一样,可能有正确的答案,很可能是您的资深开发人员有很多您不知情的原因。