|
Živjo,
na strežniku imam eno mapo z dokaj občutljivimi informacijami. Mapo sem zaščitil pred neavtoriziranim dostopom v cpanelu - torej se generira nek htaccess in potem htpasswd. Sedaj pa me zanima, kako je s to obliko avtorizacije? Je zlomljiva, kaj se zgodi v primeru brute forca in podobno ...
Hvala! Odin
|
|
|
Če je dovolj dobro geslo, potem se brute force nimaš nič bati.
Sta pa pri htaccess dve zaščiti, BASIC in DIGEST.
Pri BASIC se v komunikaciji pošilja geslo, zato ta metoda ni priporočljiva, ker lahko nekdo, ki prestreže promet, ugotovi geslo.
DIGEST je precej boljša metoda, kjer se v komunikaciji pošlje samo hash vrednost.
Če odpreš .htaccess datoteko, notri piše, katera metoda se uporablja.
|
|
|
Ja, BASIC je. Bom spremenil v DIGEST. Joj, takih stvari sam ne bi nikoli ugotovil, hvala podtalje. Se pravi, če prav razumem je osnovna razlika v tem, da se pri BASICU pošilja geslo nekriptirano, pri DIGEST pa gre geslo najprej čez neko hash funkcijo in ga zato ob morebitnem prestreganju ni mogoče razpoznati?
Ti lahko postavim še eno vprašanje - koliko časa si potem avtoriziran oz. kdaj moraš vnovič napisati geslo? Sploh si ne predstavljam, kam se zabeleži, da si avtenticiran uporabnik - v piškote ali v cache ali kam? Še enkrat hvala za vso pomoč.
|
|
|
Glede Basic si napisal popolnoma pravilno.
ZA DIgest pa je bolj pravilna razlaga, da algoritem v bistvu kodira povezavo s tvojim geslom. Ker je geslo znano na obeh straneh, se geslo sploh nikoli ne pošlje preko omrežja in ga tako ni možno prestreči.
Geslo si brskalnik shrani samo v svoj pomnilnik in se ne zapiše v noben cookie ali cache.
Koliko časa ti ni potrebno vpisati gesla, pa je to odvisno od implementacije brskalnika. Točnih vrednosti pa na žalost ne vem.
|
|
|
Super podtalje, še enkrat hvala za pomoč in razlago.
|
|
Prikazujem 1 od skupno 1 strani |
|