Безопасность аутентификации HTTP
https://stackoverflow.com/questions/1558111
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Моему клиенту нужна простая CMS базы данных быстрее, чем я смогу разобраться с тонкостями и недостатками безопасности глобальных регистров, sql-инъекций и фильтрации файлов cookie.
Я установил phpMyEdit и защитил страницу редактирования с помощью .htaccess .Для экспертов по безопасности, обеспечивает ли это хотя бы умеренный уровень безопасности?
Решение
Да, это умеренный уровень безопасности.
Атака, о которой вам нужно знать, - это атака методом грубой силы, при которой злоумышленник снова и снова пробует разные комбинации имени пользователя и пароля.Чтобы исправить это, вы можете заблокировать пользователя после n (10 разумных) неудачных попыток входа в систему.
Существует множество способов настроить файлы htaccess для допустимых пользователей, но в зависимости от используемого вами источника будьте особенно осторожны, чтобы не было пользователей по умолчанию или гостевого типа, которых ваш htaccess впустил бы.
Другие советы
Все сводится к вещам, о которых здесь никто не может знать, например, безопасны ли пароли или вы каким-то образом напортачили.Если вы хотите убедиться, что аутентификация по протоколу HTTP работает, то да, это действительно работает.Существует также больше способов, которыми вы можете это настроить, поэтому просто называть это "htaccess security" неоднозначно.В общем, просто убедитесь, что вы не оставили никаких общедоступных частей и что пароли не "123" или "qwerty", и все будет в порядке (вероятно).
Я также рекомендую использовать ip protect для ваших защищенных каталогов или файлов для администратора.Также я не могу быть в порядке с автоматизированными программами, просто вам нужно больше практики, вы должны быть в курсе большинства используемых хакерских приемов, просто читайте все больше и больше о sql-инъекциях и так далее...Удачи
