it-swarm.com.de

Wie sicher ist die Verwendung von .htpasswd zum Sichern eines Verzeichnisses?

Ich erstelle im Grunde etwas außerhalb meiner Hauptdomain www.mywebsite.com/intranet. Ich habe . Htpasswd einen Schutz für das intranet -Verzeichnis erstellt.

Ich kann noch keine individuellen Benutzerpasswörter implementieren und möchte . Htpasswd als Zwischenlösung verwenden.

Wie sicher ist diese Methode?

Welche Schritte sollte ich unternehmen, um dies sicherer zu machen? Welche Berechtigungen für . Htaccess und . Htpasswd?

1
milesmeow

Hier sind die Nachteile der grundlegenden Authentifizierung nach WikiPedia :

Obwohl das Schema leicht zu implementieren ist, basiert es auf der Annahme, dass die Verbindung zwischen Client- und Servercomputern sicher ist und als vertrauenswürdig eingestuft werden kann. Insbesondere wenn SSL/TLS nicht verwendet wird, werden die Anmeldeinformationen als Klartext übergeben und können abgefangen werden.

Bestehende Browser behalten die Authentifizierungsinformationen bei, bis der Tab oder Browser geschlossen wird oder der Benutzer den Verlauf löscht. 1 HTTP bietet keine Methode, mit der ein Server Clients anweist, diese zwischengespeicherten Anmeldeinformationen zu verwerfen. Dies bedeutet, dass es für einen Server keine effektive Möglichkeit gibt, den Benutzer abzumelden, ohne den Browser zu schließen. Dies ist ein schwerwiegender Fehler, bei dem die Browserhersteller ein für JavaScript verfügbares Benutzeroberflächenelement oder API zum Abmelden, weitere Erweiterungen von HTTP oder die Verwendung vorhandener alternativer Techniken wie das Abrufen der Seite über SSL/TLS mit einer nicht ermittelbaren Zeichenfolge in unterstützen müssen URL.

Wie das Wort "grundlegend" in seinem Namen impliziert, bietet es einen sehr grundlegenden Schutz, aber nicht viel mehr. Wenn Sie es als Stop-Gap-Maßnahme verwenden, bis Sie ein benutzerdefiniertes Authentifizierungsschema eingerichtet haben, ist es definitiv besser als nichts. Wenn Ihr Ziel jedoch "echte" Sicherheit ist, sollten Sie so schnell wie möglich ein benutzerdefiniertes Authentifizierungssystem implementieren.

6
John Conde