我們的高級開發人員告訴我,Apache Realms(使用.htaccess文件或httpd配置)是不安全的,因此在任何類型的管理後端系統中都是不好的做法。這是真的?Apache Realms是否安全?
我看到它的方式,人們無法看到apache下的任何.htxxx文件,那麼還有什麼人可以繞過Realm?當然,如果他們在你的服務器內,那麼他們可以按照自己的意願去做,但是在這一點上,任何安全措施都是不安全的,對吧?
是否有黑客攻擊或繞過Realm?他們使用不安全嗎?
如果是這樣,示例將是有用的。
這裏是http基本認證的一些普遍弱點,沒有特別的順序,也沒有特別的認可。
使用apache作爲您的安全層意味着ops人員負責關鍵層而不是開發人員。這可能意味着繞過代碼審查和其他措施,具體取決於您部門的設置。
使用領域意味着您很容易受到各種衆所周知的攻擊,而自定義登錄php解決方案可能更隱蔽並且不太可能被探測。 (也許)
阿帕奇領域依靠與衆所周知的格式特定衆所周知的文件,這涉及到添加或編輯文件系統可能會危害您的登錄的任何瑕疵
apache的領域也可以攻擊直通shell命令,這意味着涉及到的exec或系統中的任何缺陷可能危及您的登錄
apache的領域很容易受到暴力攻擊,因爲它們不支持驗證碼,或限速
盜竊你的密碼文件我的回答所有密碼的潛在危害,如果您擁有大量用戶,這可能會導致很多麻煩。
有一個敏感的密碼文件可能複雜化部署,備份等等等等
上述所有問題都dealable,並與最安全的論點也有可能是正確的答案,最有可能你的高級開發有許多你不知道的原因。
謝謝。完美解釋:) – GhostInTheSecureShell 2012-01-20 10:35:21
請高級開發人員詳細說明。我不認爲Apache Realms有什麼問題。不過,您可能想要使用HTTPS進行身份驗證的頁面。 – Thilo 2012-01-10 12:28:15
他們告訴你用什麼來代替? – Thilo 2012-01-10 12:46:31
如果您無法提出問題,請按照您的資深人士的要求,並在代碼中對您的意見進行適當評論。 – 2012-01-10 13:35:28