Auth Auth Digest HTTP fornisce una maggiore sicurezza in questo scenario?

Naviga le tue risposte
4

Supponiamo che abbia un sito Web che esegue un CMS popolare come Wordpress solo su SSL tramite HTTP Strict Transport Security. In precedenza, la pagina di accesso dell'amministratore di backend poteva essere accessibile da chiunque semplicemente aggiungendo / wp-admin all'URL, ma usando un mix di mod_rewrite e un plugin, ora è offuscato e blocca gli attacchi brute force.

Ora, che succede se l'autenticazione del digest HTTP è stata aggiunta all'immagine? Un utente malintenzionato che in qualche modo ha trovato la pagina di accesso avrebbe dovuto affrontare un altro ostacolo che avrebbe dovuto superare. Questo fornisce qualche miglioramento sulla sicurezza o è semplicemente inutile?

    
posta Python Novice 07.05.2014 - 21:33
fonte

2 risposte

2

La sicurezza è aumentata attraverso l'uso di più livelli e tecniche. Sarai in grado di rallentare l'aggressore, ma come indicato nei commenti alla tua domanda ci sono ancora molti modi per attaccare un sito wordpress - non c'è un alto grado di separazione tra componenti, database, ecc in un'installazione vanilla. Assicurati che l'auth digest sia anche la crittografia TLS / HTTPS.

L'obiettivo principale è impedire l'accesso non autorizzato a una determinata parte del sito. Invece di mettere un blocco, puoi invece autorizzare gli IP che autorizzi ad accedere al sito e alle sue sottodirectory. Ciò rende le parti dell'amministratore inaccessibili, spesso faccio qualcosa di simile in "cartelle di amministrazione" nel mio .htaccess 

ErrorDocument 403 http://www.your-ip-is-not-allowed-to-access-this-section.com
Order deny,allow
Deny from all
Allow from XX.XX.XX.XX
    
risposta data 08.05.2014 - 02:45
fonte
2

Sì, questo aggiunge un po 'di difesa in profondità, assumendo che l'auth di digest (o anche l'auth di base) sia fatto dal webserver. Ciò richiederebbe che le richieste vengano autenticate prima di colpire l'applicazione, il che significa che un utente malintenzionato non sarebbe in grado di sfruttare eventuali vulnerabilità che potrebbero esistere nel login dell'amministratore.

Detto questo, il margine di sicurezza aggiunto da questo è sufficiente a giustificare l'inconveniente per gli utenti legittimi? Dipende dal tuo modello di minaccia & comfort nella sicurezza della tua applicazione.

    
risposta data 08.05.2014 - 02:36
fonte

Leggi altre domande sui tag

Generazione di certificati X.509 deterministici? SmartCard Key Extraction / Alternative