Per il momento proteggiamo una directory sul nostro sito con .htaccess e .htpasswd. Ma mi stavo chiedendo quanto è sicuro? Ci sono cose che dovrei osservare o posso renderlo più sicuro?
Non so perché, ma non ne sono convinto. Ho la sensazione che questo tipo di sicurezza sia facile da decifrare. Da quello che ho letto ci sono modi per scaricare semplicemente il file .htpasswd e decifrare le password.
Se tutto l'accesso è tramite SSL, allora è ragionevolmente sicuro.
L'autenticazione di base senza SSL invia solo il nome utente / password come codificati base64 - quindi è banale estrarre i token via MITM o sniffare.
L'autenticazione del digest senza SSL è molto migliore (un meccanismo basato su una sfida) ma non altrettanto sicura come una connessione crittografata. Tuttavia ci sono pochi indizi per l'utente che l'autenticazione viene implementata come Digest piuttosto che Basic. Anche le sfide di autenticazione proxy sembrano molto simili.
I meccanismi di autenticazione incorporati non forniscono una buona esperienza utente. Se questo è per un sito con un piccolo gruppo di utenti definito, quindi l'utilizzo dei metodi integrati è una soluzione rapida (ma si potrebbe invece considerare l'autenticazione del certificato lato client). Ma per un sito Web pubblico dovresti pensare a implementare qualcosa di più sofisticato.
Dovresti configurare il tuo webserver in modo appropriato per impedire l'accesso diretto al file htaccess e al database delle password. O mettendo la configurazione al di fuori della radice del documento (ovviamente questo non funzionerà per i file htaccess - ma sono solo un'estensione locale alla configurazione del server web) o bloccando l'accesso ai file. Ogni distribuzione Apache che abbia mai incontrato blocca l'accesso a file con nomi che iniziano con ".ht"
Sebbene sia possibile impedire l'accesso diretto alla password db, non c'è molto spazio per limitare gli attacchi di forza bruta sul server tramite HTTP, un'altra ragione per considerare un approccio basato su moduli.
Idealmente, un hacker non dovrebbe essere in grado di scaricare il tuo file .htpasswd - apache impedirà l'accesso a tutti i file che iniziano con ".ht", quindi finché non fornisci l'accesso FTP e non lo fai Se hai delle vulnerabilità nelle tue app, dovresti essere in forma decente.
Leggi altre domande sui tag webserver brute-force