-2
Apache文件夹密码保护有多安全?当然,安全是相对的,取决于其他变量,如服务器的其他部分等等。Apache文件夹密码保护有多安全?
但放大仅在.htaccess中的文件夹保护:这是一种安全的方式吗?有没有知道大洞?
Apache文件夹密码保护有多安全?当然,安全是相对的,取决于其他变量,如服务器的其他部分等等。Apache文件夹密码保护有多安全?
但放大仅在.htaccess中的文件夹保护:这是一种安全的方式吗?有没有知道大洞?
我假设你指的是AuthType
指令集来创建一个受密码保护的目录。
有几件事你可以做它“更安全”。
用户DIGEST方法代替AuthType
的BASIC。 BASIC身份验证将用户名和密码作为base64编码的字符串传递。 DIGEST使用随机数和MD5,所以实际的密码永远不会被传输。
确保您的htpasswd/htdigest文件不是web文档根目录中,否则有可能使他人能够通过Apache访问(如http://example.com/.htpasswd
)
如果必须使用基本身份验证,考虑使用SSL
与基于会话的身份验证不同,登录的用户将保持登录状态,直到浏览器关闭。没有会话超时。没有什么可以做这个,除了可能迫使401/403浏览器欺骗,以为它的权威性是不正确