- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
假设站点较小(页面数少于5个),.htaccess
和.htpassword
的正确用法是什么?我最近观看了a tutorial from Nettuts+给出此示例代码的地方:
.htaccess
AuthName "Login title"
AuthType Basic
AuthUserFile /path/to/.htpasswd
require valid-user
htpasswd -c <file> <username>
命令创建)
username:encrypted-version-of-password
最佳答案
这提供什么安全等级?
.htpasswd本身并不能提供太多安全性。也就是说,它提供了登录机制,如果没有适当的凭据,Apache将不会响应,但是除非另行配置,否则有关交换的任何内容都不会被加密(甚至混淆)。例如,通过Wireshark监听GET
请求,可以很好地了解客户端发送的所有标头,包括:
Authorization: Basic d3BhbG1lcjp0ZXN0dGVzdA==
d3BhbG1lcjp0ZXN0dGVzdA==
”只是“
wpalmer:testtest
”的base64编码形式。如今,黑客(或更可能是病毒)可以坐在公共WiFi连接上,并记录任何包含
Authorization:
的请求,以供日后阅读。通常,即使您通过有线或安全的WiFi端到端,通过未加密的HTTP连接发送任何身份验证信息也被认为是一个坏主意。例如,如果您将客户数据,付款信息等存储在
.htpasswd
锁后面,它将不符合
PCI Compliance的要求。
.htpasswd
身份验证不提供任何形式的速率限制或蛮力保护。您可以尝试进行许多同时尝试输入密码的尝试,就像Apache愿意提供同时进行的页面一样,Apache会尽可能地以成功/失败作为响应。您可以使用类似
Fail2Ban之类的方法来限制在阻止客户端与服务器通信之前可以进行的失败尝试次数,但这不一定能提供针对僵尸网络的任何有用保护,僵尸网络可能会自动针对成千上万的服务器唯一地址。这可能导致以下决定:“当由于多个客户端的故障导致整个帐户被锁定时,我是否容易受到僵尸网络的密码尝试攻击,还是容易遭受拒绝服务攻击?”
.htaccess
文件中添加基于IP的限制来限制这些攻击角度,从而仅允许来自某些地址的连接。根据您的操作方式,这可能会带来不便,但这也会严重限制您可能受到的威胁的类型。仍然存在特定针对您站点的人或部分网络基础架构本身被感染的风险。根据您要保护的内容类型,这可能“足够好”。这种限制的一个例子是:
Order deny,allow
Deny from all
Allow from 127.0.0.1
Order deny,allow
定义处理规则的顺序,最后匹配优先。
Deny from all
首先假定所有客户端均被拒绝
Allow from 127.0.0.1
如果客户端具有IP
127.0.0.1
,则允许
.htaccess
文件本身有点责任。查看对“他们是否需要在公共目录之外?”的答复。有关更多详细信息。
.htaccess
/
.htpasswd
文件,
.ht*
文件或
.*
文件。这很常见,但是有很多原因可能并非如此。如果尚未阻止这些文件,则可以自己添加规则以阻止它们:
<FilesMatch "^.(htaccess|htpasswd)$">
Order Allow,Deny
Deny from all
</FilesMatch>
.htaccess
文件的工作方式是在它们所在的目录匹配时进行处理。也就是说:
.htpasswd
可能在其他位置,但是
.htaccess
需要在同一目录中。也就是说,请参阅“速度影响”部分以获取更多详细信息。
.htpasswd
保留在公共目录之外?因为会发生错误,所以
.htpasswd
文件是一个很大的责任。即使使用HTTPS,暴露
.htpasswd
文件也意味着可以通过蛮力攻击轻松破解密码。如今,消费级GPU每秒可以进行数百万次密码猜测。这甚至可以使“强”密码在相对较短的时间内丢失。同样,此参数通常仅适用于有针对性的攻击,但事实仍然是,如果攻击者拥有您的
.htpasswd
文件并希望访问您的系统,那么如今,他们可能能够轻松地做到这一点。有关事物状态的相对近期(2012年4月)概述,请参见《编码恐怖》中的
Speed Hashing。
.htaccess
文件的可能性值得将其移动到httpd寻找要提供内容的位置时甚至不应该查看的位置。是的,仍然存在一些配置更改,如果它是“一级升级”而不是“在公共目录中”,则可能会将其公开,但是这些更改不太可能偶然发生。
.htaccess
文件确实会减慢速度。更具体地说,
AllowOverride all
指令会导致很多潜在的速度下降。这将导致Apache在每个目录以及目录的每个父目录中查找.htaccess文件(直到
DocumentRoot
为止)。这意味着针对每个请求查询文件系统中的文件(或文件更新)。与可能永远不会访问文件系统的选择相比,这是一个很大的不同。
.htaccess
根本存在?有许多原因可能使它“值得”:
.htaccess
。实际上,这就是让它变慢的原因-Apache在每个请求中检查更改或
.htaccess
文件的存在,因此更改将立即应用。
.htaccess
中的错误将删除目录,而不是服务器。这使得它比更改
httpd.conf
文件的责任少得多。
.htaccess
。这使其非常适合共享主机环境。完全不需要访问
httpd.conf
或重新启动服务器。
.htaccess
可以将访问规则保留在将要生效的文件旁边。这可以使它们更容易找到,并且可以使事情井井有条。
.htaccess
吗?适用于
.htaccess
的任何规则都可以直接添加到
httpd.conf
或包含的文件中。
.htpasswd
呢?这取决于您拥有多少用户。它是基于文件的,在实现方面几乎是最低限度的。从
The docs for httpd 2.2:
.htpasswd
很慢。如果只有少数需要认证的用户,您将永远不会注意到,但这是另一个考虑因素。
.htpasswd
保护管理员部分并非在所有情况下都是理想的。鉴于其简单性,如果安全性和性能不是最优先考虑的事项,则可能值得承担这些风险和问题。在许多情况下,只需稍作调整,就可以认为它“足够好”。构成“足够好”是您做出的判断要求。
关于apache - 正确使用.htpasswd,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12291080/
这个问题已经有答案了: How to do case insensitive string comparison? (23 个回答) 已关闭 3 年前。 用户在我的输入栏中写入“足球”,然后执行第 6
啊,不习惯 javascript 中的字符串。 character_id= + id + correct= + correctOrIncorrect 这就是我需要制作成字符串的内容。如果您无法猜测字符
$(function() { var base_price = 0; CalculatePrice(); $(".math1").on('change', function(e) { Calc
我找不到任何文章回答问题:将Spinnaker部署到Spinnaker将管理的同一Kubernetes集群是否安全/正确?我主要是指生产,HA部署。 最佳答案 我认为Spinnaker和Kuberne
我正在使用MSVC在Windows上从源代码(官方源代码发布,而不是从仓库中)构建Qt5(Qt 5.15.0)。 我正在设置环境。变量,依赖项等,然后运行具有1600万个选项的configure,最后
我需要打印一个包含重复单词的数组。我的数组已经可以工作,但我不知道如何正确计算单词数。我已经知道,当我的索引计数器 (i) 为 49 时,并且当 (i) 想要计数到 50 时,我会收到错误,但我不知道
我正在遵循一个指南,该指南允许 Google map 屏幕根据屏幕尺寸禁用滚动。我唯一挣扎的部分是编写一个代码,当我手动调整屏幕大小时动态更改 True/False 值。 这是我按照说明操作的网站,但
我有一个类“FileButton”。它的目的是将文件链接到 JButton,FileButton 继承自 JButton。子类继承自此以使用链接到按钮的文件做有用的事情。 JingleCardButt
我的 friend 数组只返回一个数字而不是所有数字。 ($myfriends = 3) 应该是…… ($myfriends = 3 5 7 8 9 12). 如果我让它进入 while 循环……整个
这个问题在这里已经有了答案: Is there a workaround to make CSS classes with names that start with numbers valid?
我正在制作一个 JavaScript 函数,当调整窗口大小时,它会自动将 div 的大小调整为与窗口相同的宽度/高度。 该功能非常基本,但我注意到在调整窗口大小时出现明显的“绘制”滞后。在 JS fi
此问题的基本视觉效果可在 http://sevenx.de/demo/bootstrap-carousel/inc.carousel/tabbed-slider.html 获得。 - 如果你想看一看。
我明白,如果我想从函数返回一个字符串文字或一个数组,我应该将其声明为静态的,这样当被调用的函数被返回时,内容就不会“消亡”。 但我的问题是,当我在函数内部使用 malloc 分配内存时会怎样? 在下面
在 mySQL 数据库中存储 true/false/1/0 值最合适(读取数据消耗最少)的数据字段是什么? 我以前使用过一个字符长的 tinyint,但我不确定它是否是最佳解决方案? 谢谢! 最佳答案
我想一次读取并处理CSV文件第一行中的条目(例如打印)。我假设使用Unix风格的\n换行符,没有条目长度超过255个字符,并且(现在)在EOF之前有一个换行符。这意味着它是fgets()后跟strto
所以,我们都知道 -1 > 2u == true 的 C/C++ 有符号/无符号比较规则,并且我有一种情况,我想有效地实现“正确”比较。 我的问题是,考虑到人们熟悉的尽可能多的架构,哪种方法更有效。显
**摘要:**文章的标题看似自相矛盾。 本文分享自华为云社区《Java异常处理:如何写出“正确”但被编译器认为有语法错误的程序》,作者: Jerry Wang 。 文章的标题看似自相矛盾,然而我在“正
我有一个数据框,看起来像: dataDemo % mutate_each(funs(ifelse(. == '.', REF, as.character(.))), -POS) # POS REF
有人可以帮助我使用 VBScript 重新格式化/正确格式化带分隔符的文本文件吗? 我有一个文本文件 ^分界如下: AGREE^NAME^ADD1^ADD2^ADD3^ADD4^PCODE^BAL^A
就目前而言,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引起辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the he
我是一名优秀的程序员,十分优秀!