È sicuro archiviare dati riservati su HTTPS AUTH di base? [duplicare]

2

È un back-end del sito web. Dal momento che sarà accessibile solo a due persone, c'è qualche svantaggio nell'usare l'http auth di base? Il sito web è sotto https.

modifica: come indica il titolo, all'interno ci sono dati riservati.

    
posta izuna 01.02.2017 - 22:38
fonte

1 risposta

2

Autenticazione di base ha alcuni problemi risolti in digest auth , ma per lo più non si applicano visto che stai usando TLS (che dovrebbe gestire attacchi di replay e crittografia dei valori segreti). Potrebbe comunque essere una buona idea usare comunque auth digest, perché non è peggio .

Entrambi questi metodi di autenticazione sono ancora piuttosto primitivi. Il punto debole più rilevante è che non includono alcun tipo di protezione brute-force: un utente malintenzionato può provare le credenziali potenziali con la stessa velocità con cui il server web le elaborerà. Questo ti impone di implementare la limitazione in un altro sistema, come fail2ban. Allo stesso modo, non ci sono registri di audit diretti, quindi è necessario assicurarsi che il server Web sia configurato per registrare gli accessi di autenticazione e creare un sistema in grado di filtrare e cercare questi log nel caso in cui sia necessario verificare in seguito per vederlo.

Oltre a questo, ci sono problemi di sicurezza e UX standard che potrebbero non avere molta importanza nel tuo caso, dal momento che hai solo due utenti. Uno di questi sarebbe se hai una password condivisa per tutti, o diversi account utente; se è il primo, devi (in modo sicuro) distribuire una nuova password ogni volta che vuoi revocare l'accesso a qualcuno, mentre con quest'ultimo devi progettare un sistema che aggiorna automaticamente il file digest e ricarica il tuo server web (o fallo manualmente ).

    
risposta data 01.02.2017 - 22:54
fonte

Leggi altre domande sui tag