Apache フォルダーのパスワード保護はどの程度安全ですか? もちろん、安全性は相対的なものであり、サーバーの残りの部分など、他の変数に依存します。
しかし、.htaccess のフォルダー保護のみを拡大: これは安全な方法ですか? 既知の大きな穴はありますか?
AuthType
パスワードで保護されたディレクトリを作成するための一連のディレクティブを参照していると思います。
「より安全」にするためにできることがいくつかあります。
の BASIC ではなく、ユーザー DIGEST メソッドAuthType
。BASIC 認証では、ユーザー名とパスワードが base64 でエンコードされた文字列として渡されます。DIGEST は nonce と MD5 を使用するため、実際のパスワードは送信されません。
htpasswd/htdigest ファイルが Web ドキュメント ルート内にないことを確認してください。そうしないと、誰かが Apache 経由でアクセスできる可能性があります (例http://example.com/.htpasswd
:
BASIC auth を使用する必要がある場合は、SSL の使用を検討してください。
セッションベースの認証とは異なり、ログインしたユーザーはブラウザが閉じられるまでログインしたままになります。セッション タイムアウトはありません。これについてできることはあまりありませんが、401/403 にブラウザをだまして認証が正しくないと思わせるように強制することを除けば、