Насколько безопасна аутентификация htaccess?

Question

Мне нужно защитить клиентскую CMS с помощью имени пользователя и пароля, нужно только одно имя пользователя.Я собирался использовать htaccess, потому что его так быстро добавить.

Я буду добавлять его, используя функцию каталогов паролей в WHM, которая хранит пароли здесь: AuthUserFile "/home/username/.htpasswds/public_html/cms / passwd "

Насколько это безопасно?Есть ли способы попасть в такие папки, как .htpasswds?

Answer 1

Прямо из документации Apache

Самый распространенный метод - Basic, и это метод, реализованный mod_auth_basic.Однако важно помнить, что обычная проверка подлинности отправляет пароль от клиента на сервер в незашифрованном виде.Поэтому этот метод не следует использовать для высокочувствительных данных, если только он не сопровождается mod_ssl.Apache поддерживает еще один метод аутентификации: AuthType Digest.Этот метод реализован mod_auth_digest и является гораздо более безопасным.Самые последние браузеры поддерживают дайджест-проверку подлинности.

Прочитайте остальные ЗДЕСЬ

Answer 2

Вам следует запретить доступ к папке, содержащей passwd файлы

<Directory /home/*>
    Order allow,deny
    Deny from all
    Satisfy all
</Directory>

, также не забывайте, что http-трафик может быть захвачен, поэтому он не подходит для финансовых транзакций.

Answer 3

Пока вы устанавливаете надлежащие ограничения в файле httpd.conf для блокировки внешних запросов на .htaccess и .htpasswd, у вас все будет в порядке.

Вы можете блокировать внешние запросы (в Apache) с помощьюследующие директивы:

# The following code hides .htaccess and .htpasswd files from sites visitors.

<FilesMatch "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy All
</FilesMatch>