Apache 文件夹密码保护的安全性如何?当然,安全性是相对的,取决于其他变量,例如服务器的其余部分等等。
但只放大 .htaccess 中的文件夹保护:这是一种安全的方式吗?有已知的大洞吗?
问问题
1668 次
1 回答
4
我假设您指的AuthType是用于创建密码保护目录的指令集。
你可以做一些事情来让它“更安全”。
使用 DIGEST 方法而不是 BASIC 的
AuthType. BASIC 身份验证将用户名和密码作为 base64 编码字符串传递。DIGEST 使用随机数和 MD5,因此永远不会传输实际密码。确保您的 htpasswd/htdigest 文件不在 web 文档根目录中,否则可能有人可以通过 apache 访问它(例如
http://example.com/.htpasswd)如果必须使用 BASIC 身份验证,请考虑使用 SSL
与基于会话的身份验证不同,登录的用户将保持登录状态,直到浏览器关闭。没有会话超时。除了可能强制 401/403 欺骗浏览器认为其身份验证不正确之外,您对此无能为力
于 2013-04-08T10:34:46.130 回答