Est-ce que .htaccess Protection Assez en sécurité?
Pour le moment, nous protégeons un répertoire sur notre site avec .htaccess et .htpasswd. Mais je me demandais à quel point c'est sécurisé? Y a-t-il des choses que je devrais regarder ou peut-elle le rendre plus sécurisé?
Je ne sais pas pourquoi mais ça ne se sent pas vraiment sûr de ça. J'ai le sentiment que ce genre de sécurité est facile à craquer. D'après ce que j'ai lu, il y a des moyens de simplement télécharger le fichier .htpasswd et décrypter les mots de passe.
Si tout l'accès est via SSL, il est raisonnablement sécurisé.
L'authentification de base sans SSL envoie uniquement le nom d'utilisateur/mot de passe comme base64 codé - il est donc trivial d'extraire les jetons via mitm ou de renifler.
L'authentification digère sans SSL est un meilleur meilleur (mécanisme basé sur le défi) mais toujours aussi sécurisé qu'une connexion cryptée. Cependant, il existe peu de signaux à l'utilisateur que l'authentification est mise en œuvre comme digest plutôt que de base. Les défis d'authentification proxy ont également l'air très similaires.
Les mécanismes d'authentification intégrés ne fournissent pas une bonne expérience utilisateur. Si cela est destiné à un site avec un petit groupe d'utilisateurs défini, vous utilisez les méthodes intégrées, vous trouverez une solution rapide (mais vous pourriez envisager une autorisation de certificat côté client). Mais pour un site Web du public, vous devriez penser à la mise en œuvre un peu plus sophistiquée.
Vous devez configurer votre serveur Web de manière appropriée pour empêcher l'accès direct au fichier HTACCESS et à la base de données de mot de passe. Soit en mettant la configuration à l'extérieur de la racine du document (évidemment, cela ne fonctionnera pas pour les fichiers HTACCESS - mais ils ne sont qu'une extension locale à la configuration WebServer) ou en bloquant l'accès aux fichiers. Chaque distribution Apache J'ai jamais rencontré des blocs d'accès aux fichiers avec des noms de départ '.ht'
Bien que vous puissiez empêcher l'accès direct au mot de passe dB, il n'y a pas beaucoup de possibilités de limiter les attaques de force brute sur le serveur sur http - une autre raison de la prise en compte d'une approche basée sur des formulaires.
Je voudrais vérifier cette ressource pour vous assurer que Htaccess est correctement protégé:
http://www.symantec.com/connect/articles/harticules/hardening-htaccess-part-one
Et je vérifierais un waf ou mod_security si vous souhaitez un contrôle opérationnel plus important:
http://www.askapache.com/htaccess/modsecurity-htaccess-tricks.html
Idéalement, un pirate informatique ne devrait pas être capable de télécharger votre fichier .HTPASSWD - Apache interdire l'accès à tous les fichiers commençant par ".ht", afin que vous ne donniez pas l'accès FTP et que vous n'avez pas de Vulnérabilités dans vos applications, vous devriez être en forme décente.