| |
|
|
| | Прочитал новую статью "Защита сайта с помощью .htaccess и .htpasswd" и задался таким вопросом: если использовать digest-аутентификацию, то насколько этот способ надежен? И еще вопрос: какие есть еще альтернативные способы защиты информации(можно кинуть линки). | |
| |
|
|
| |
|
|
| |
для: Igorek
(01.10.2004 в 19:41)
| | | Главный ее плюс в том, что при digest аутентификации пароль в сети передается в зашифрованном виде. Это, конечно, осложнит хакеру задачу взлома сайта. Надежность повышается, но не очень уж сильно. Перехват хеш-кода пароля тоже угроза для взлома.
Более надежным считается работа по протоколу SSL. В этом случае шифруется весь трафик.
Еще можно использовать для защиты не текстовые файлы, а базы данных. Для этого Apache должен быть скомпилирована с использованием модуле mod_auth_db или mod_auth_dbm. В этом случае пароли хранятся не в тестовых файлах, а в базе данных. Основное плюс – увеличение скорости поиска в файлах с паролями.
Почитать… Вот линк на digest аутентификацию.
http://www.ietf.org/rfc/rfc2617.txt
Но это все требует перекомпиляции Apachа. Из доступного "простым людям" можно использовать комбинацию способов. Например. Использовать базовую аутентификацию плюс защиту от доступа по IP-адресу. Даже если у Вас динамический IP, то все равно можно определить диапазон IP-адресов и прописать его. Посетители из других диапазонов не смогут получить доступ к защищенной странице. Правда, иногда, архитектура сети хост-провайдеров не позволяет использовать защиту по IP. Они оказываются как бы замаскированными :( | |
| |
|
|
