是保护一个网站的目录与。就文件的安全吗？

Question

我想知道，如果保护网络的目录。就文件(。htpasswd文件之外的公共apache安装)是一个安全的方式来保护一个目录(及其内容)。

可能有人解释该做的和不该做这样的保护？

Answer 1

如果使用标准的HTTP协议的认证将被传递未受保护了网。这是不被视为安全的，因为有人可以嗅出密码。

如果您限制存取权限HTTPS是相当安全的。这意味着，以安装并启用对SSL加密的HTTP流量的Apache模块（端口433，https：//开头的浏览器的ADRESS线）80端口上的用户名此目录，并禁用标准HTTP流量和密码将被SSL加密。一定要选择一个好的密码（长和足够复杂，无法猜测或暴力）。

Apache配置可以是棘手的，所以采取了很多护理保持它的简单和测试针对可能的错误。

它可以是从.htaccess文件移动访问限制配置Apache主配置文件，如果你有知识和控制权是一个好主意。也可能是您更轻松地保持它在.htacces文件。而“易”才能更安全。做到这一点，感觉简单，安全，易于维护和记住你的方式。

这是一个简单的设置来提高安全性和防止事故：

如果你有地方保护的目录，你可以写一个简单的脚本报警的机器上配置PHP和电子邮件。只是一个PHP文件“alarm.php”与向您发送一封电子邮件，告知您的htaccess保护不工作PHP的邮件功能一行。

如果您的域名和目录路径是“ http://mybox.example.com/secretdir /alarm.php ”你可以在不同的机器上在浏览器中输入这个，你应该得到的邮件，只要是htaccess的‘打开’。如果被保护，你可以输入用户名和密码，你也将获得邮件。

要拨打自动报警出这个你可以用它试图让这个网址，每15分钟左右不同的Unix机器。对于在crontab行：

* / 15 * * * * USER1的wget http://mybox.example.com/ secretdir / alarm.php

用户1是谁被允许运行的wget本机上的用户，并且必须安装的wget。

您可以禁用htaccess的保护作为测试和应该得到的邮件每隔15分钟。

从我的经验，这是一种常见的安全漏洞，当你改变一些东西，你认为是受保护的目录中失去其保护，你不知道，这样你会得到警告您的电子邮件。

Answer 2

就我所知道的，就是很容易破解的，如果它拦截(f。e.你都记录在从一个因特网咖啡馆有一个网络嗅探器运行)。 据我所知, 摘要的认证 有助于取得在这一问题。

Answer 3

的.htaccess是非常标准的方式如何使被Apache HTTPD在您宗个案资源每目录配置更改用不上以主配置文件/没有root权限。

如果你有机会到主配置，它更容易把所有的配置（包括认证）放置在一个中心位置（即使它分割成多个文件），它不是那么容易忽略它。从我的经验，我可以告诉你忘记你的.htaccess文件之前，这只是一个时间问题

官方文档多次使用的.htaccess文件提到，应避免时可能。

如果使用.htaccess的是你唯一的选择，请务必遵循一般的安全预防措施，如httpd主配置，即防止未授权用户读取它们，文件是由服务器读取，请确保你有目录列表禁用，始终确保密码被存储在加密/散列格式等

有关的详细信息，请，检查阿帕奇htaccess教程

Answer 4

一个.htaccess文件是很方便，但...这不会保护你从别人利用你的代码，并阅读他想要的任何文件。如果您的网站（即使是一个小脚本）将被利用，也没有的.htaccess也没有其他的解决方案会保护你，因为黑客将获得执行脚本（通常是www数据）的用户的权限。

这是在尤其CGI不好受，但其他脚本被黑客攻击，以及