gpt4 book ai didi

security - 使用 .htaccess 文件保护网站目录安全吗?

转载 作者:行者123 更新时间:2023-12-02 18:59:22 25 4
gpt4 key购买 nike

我想知道使用 .htaccess 文件(使用公共(public) apache webroot 之外的 .htpasswd 文件)保护 Web 目录是否是保护目录(及其内容)的安全方法。

有人可以解释一下这种保护的注意事项吗?

最佳答案

如果您使用标准 http 协议(protocol),身份验证将在不 protected 情况下通过网络传递。这被认为不安全,因为有人可以嗅探密码。

如果你限制对 https 的访问,那是相当安全的。这意味着安装并启用用于 ssl 加密 http 流量的 apache 模块(端口 433,浏览器地址行中的 https://),并在端口 80 上禁用此目录的标准 http 流量。用户名和密码将为 ssl加密的。请务必选择一个好的密码(足够长且复杂,不可能被猜测或暴力破解)。

Apache 配置可能很棘手,因此请务必小心保持简单并针对可能的错误进行测试。

如果您了解并控制它,将访问限制配置从 .htaccess 文件移至主 apache 配置文件可能是个好主意。您也可以更轻松地将其保留在 .htacces 文件中。而且“简单”可以更安全。以您感觉简单、安全、易于维护和记住的方式进行操作。

这是一个简单的设置,可以增强安全性并防止发生事故:

如果您在 protected 目录所在的计算机上配置了 php 和电子邮件,您可以编写一个简单的警报脚本。只是一个 php 文件“alarm.php”,其中只有一行,其中包含 php 邮件功能,该功能会向您发送电子邮件,告诉您 htaccess 保护不起作用。

如果您的域和目录路径是“http://mybox.example.com/secretdir/alarm.php”,您可以在另一台计算机上的浏览器中输入此内容,只要“打开”htaccess,您就应该收到该邮件。如果它受到保护,您可以输入用户名和密码,您也会收到邮件。

要从中创建自动警报,您可以使用不同的 unix 框,尝试每 15 分钟左右获取此 url。 crontab 行:

*/15 * * * * user1 wget http://mybox.example.com/secretdir/alarm.php

user1是 native 上允许运行wget的用户,并且必须安装wget。

您可以禁用 htaccess 保护作为测试,并且应该每 15 分钟收到一次邮件。

根据我的经验,这是一个常见的安全缺陷,当您在不知情的情况下更改某些内容时,您认为 protected 目录会失去保护,这样您就会收到警告您的电子邮件。

关于security - 使用 .htaccess 文件保护网站目录安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/869072/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com