我们的高级开发人员告诉我,Apache Realms(使用 .htaccess 文件或 httpd 配置)是不安全的,因此在任何类型的管理后端系统中使用都是不好的做法。这是真的吗?
在我看来,人们无论如何都看不到 apache 下的任何 .htxxx 文件,那么人们还能如何绕过 Realm?当然,如果他们在您的服务器中,那么他们可以为所欲为,但此时任何安全措施都是不安全的,对吧?
有没有破解或绕过 Realm 的方法?它们使用起来不安全吗?
如果是这样,例子会很有用。
最佳答案
以下是 http 基本身份验证的一些一般弱点,排名不分先后,也没有特别认可它们。
使用 Apache 作为您的安全层意味着运维人员而不是开发人员负责关键层。这可能意味着绕过代码审查和其他措施,具体取决于您部门的设置。
使用领域意味着您容易受到各种众所周知的攻击,而自定义登录 php 解决方案可能更隐蔽并且不太可能被探测到。 (也许)
apache 领域依赖于具有众所周知格式的特定知名文件,这意味着涉及向系统添加或编辑文件的任何缺陷都可能危及您的登录
apache 领域也可能通过 shell 命令受到攻击,这意味着涉及 exec 或系统的任何缺陷都可能危及您的登录
apache 领域容易受到暴力攻击,因为它们不支持验证码或速率限制
密码文件被盗意味着您所有密码的潜在泄露,如果您有很多用户,这可能会导致很多麻烦。
拥有敏感的密码文件可能会使部署、备份等复杂化
所有上述问题都是可以解决的,并且对于大多数安全论点,可能都有正确的答案,很可能您的高级开发人员有很多您不知道的原因。
关于linux - Apache 领域安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8803219/