разъясните по секурности -.htpasswd.htaccess
2427
7
секурно или не секурно и какие слабые места у этих файлов, если я захотел закрыть каталог на сайте этими файлами
NoooK
решил именно этим вариантом закрыть доступ в каталогу
NoooK
Секурно, в том смысле, что слабостей у такого метода защиты нет. Это просто инструкции апачу для проведения http авторизации, от дыр ни один метод не застрахован, так что периодически нужно смотреть патчи, собственно как и везде. Единственное проверь, что после авторизации эти файлы скачать нельзя (хотя апач наверное и так по умолчанию этого делать не дает). Из минусов (хотя я думаю это не минус, а особенность) - этот метод защиты только для простенького сайта. Для большого портала/многопользовательского ресурса имхо нужно делать авторизацию другим методом.

Ниже пара общих коментов по секурности:

1. Для пущей секурности пускай в каталог только через https (по моему можно выставать в настройках апача, чтобы апач сам проводил относительно простое криптование, которые конечно не такое сильное как ssl но в любом случае это лучше чем просто передавать данные в открытом виде )
2. Насколько мне известно апач не вставляет временную задержку при вводе неправильного пароля, что теоретически позволяет провести его подбор, но учитывая, что сетевой доступ не очень быстр сам по себе, эта проблема автоматом снимается, хотя с машины в одной сетке с твоей это скорее всего возможно.

Просто оцени какова значимость твоей информации. Для большинства случаев пункты 1 и 2 несущественны.
по сути ответ верен, но в деталях - мягко говоря, не совсем корректен.

1. никакого "относительно простого криптования" в апаче нет. либо есть mod_ssl, либо его нет, третьего не дано. собственно, его и в протоколе-то не предусмотрено.

2. HTTP - stateless протокол. запросы абсолютно независимы. "временная задержка" помогла бы только от перебора "руками" (никто не запретит делать перебор в большее число потоков).

3. никакие патчи смотреть не надо. нет, теоретически можно облажаться и в имплементации HTTP AUTH проверки, но это настолько маловероятно...

Nook

да, для озвученной задачи это самый простой и оптимальный способ. если есть возможность, файл .htpasswd лучше положить вне document root (кстати, его вовсе не обязательно называть именно так).

кстати, если не секрет, причем тут программирование?
zero divisor
по сути ответ верен, но в деталях - мягко говоря, не совсем корректен.

1. никакого "относительно простого криптования" в апаче нет. либо есть mod_ssl, либо его нет, третьего не дано. собственно, его и в протоколе-то не предусмотрено.
Имелся ввиду Base64, который поддерживается всеми браузерами. Лень смотреть маны, но я бы очень удивился если апачу нельзя сказать проводить HTTP авторизацию с Base64.
С остальным согласен.
zero divisor
3. никакие патчи смотреть не надо. нет, теоретически можно облажаться и в имплементации HTTP AUTH проверки, но это настолько маловероятно...
Ну я видел как то пару раз в сообщениях что то похожее на переполнение буфера при http авторизации. Но это уже скорее к вопросам религии относится - проверять или нет патчи и насколько часто.:улыб:
zero divisor
> 2. HTTP - stateless протокол. запросы абсолютно независимы. "временная задержка" помогла бы только от перебора "руками" (никто не запретит делать перебор в большее число потоков).

Не понимаю, какая проблема установить задержку по логину. Пусть потоков будет хоть тысяча, между двумя попытками логина на одно и то же имя будет проходить пять секунд, и не миллисекундой меньше.

P.S. Это - желаемая, а не реальная фича.
Anomander
А можно проинструктировать апач делать задержку стандартными средствами?