| Внимание! В связи с устареванием топика эта страница была взята из кэша.
|
 spadix
Зарегистрирован: 02.11.03
Сообщения: 119
|
 Добавлено: 30/03/04 в 13:25
|
|
Скажу сразу, во всяких настройках я не спец, вот заинтересовал вопрос: насколько эффективна директории на хостинге через .htaccess?
Допустим если я это сделаю вот так:
в .htaccess этой директории пропишу
| Цитата: | AuthName "Restricted Area"
AuthType Basic
AuthUserFile /home/myhost/.htpass
Require valid-user |
а в файле .htpass будут хранится пароли (файл в той-же директории что и .htaccess)
Насколько это надежно? и есть-ли возможность взлома?
|
|
K началу
|
|
| |
Wahoven
Зарегистрирован: 19.09.03
Сообщения: 1473
|
|
Добавлено: 30/03/04 в 17:35
|
|
Нормальная эффективность 
Хотя смотря от кого защищать..
|
|
K началу
|
|
| |
begemot
Зарегистрирован: 25.12.03
Сообщения: 172
|
|
Добавлено: 30/03/04 в 21:21
|
|
| spadix писал: |
Насколько это надежно? и есть-ли возможность взлома? |
во всяком случае .htaccess понадежнее всяких php и других надстроек над web-сервером, а возможность взлома есть почти всегда :/
|
|
K началу
|
|
| |
Еugene
Зарегистрирован: 10.12.03
Сообщения: 158
|
|
Добавлено: 30/03/04 в 21:24
|
|
теоретически пароль можно подобрать по словарю, но при несловарном пароле стойкость алгоритмов des/rsa/md5 и тп не вызывает сомнений
|
|
K началу
|
|
| |
sexvendor
Зарегистрирован: 07.10.03
Сообщения: 66
|
|
Добавлено: 30/03/04 в 23:54
|
|
| begemot писал: | | во всяком случае .htaccess понадежнее всяких php и других надстроек над web-сервером |
обоснуй 
|
|
K началу
|
|
| |
Wahoven
Зарегистрирован: 19.09.03
Сообщения: 1473
|
|
Добавлено: 31/03/04 в 02:07
|
|
| sexvendor писал: | | обоснуй |
Я не претендую на истину в последней инстанции, но ht - это директивы для апача напрямую, и в случае сбоя работать не будет ничего.
А в случае работы пхп - при нехорошо настроенном модуле - он тебе расскажет все, разве что, пароли не покажет..
|
|
K началу
|
|
| |
ivango
Зарегистрирован: 09.11.02
Сообщения: 1829
|
|
Добавлено: 31/03/04 в 03:29
|
|
| spadix писал: | а в файле .htpass будут хранится пароли (файл в той-же директории что и .htaccess)
Насколько это надежно? и есть-ли возможность взлома? |
Лучше не надо в той-же директории... положи в другую. В такую, которую вообще не видно через веб. А то могут в принципе добавить своих паролей туда...
Как не знаю, но мне пихали раньше, пока не положил пароли вне httproot.
|
|
K началу
|
|
| |
Core
Зарегистрирован: 07.09.03
Сообщения: 808
|
|
Добавлено: 31/03/04 в 14:15
|
|
| ivango писал: | Лучше не надо в той-же директории... положи в другую. В такую, которую вообще не видно через веб. А то могут в принципе добавить своих паролей туда...
Как не знаю, но мне пихали раньше, пока не положил пароли вне httproot. |
Правильный совет, я это даже в мануале каком-то читал...
|
|
K началу
|
|
| |
Yahook
Зарегистрирован: 18.11.01
Сообщения: 1552
|
|
Добавлено: 31/03/04 в 16:35
|
|
| Цитата: |
Лучше не надо в той-же директории... положи в другую. В такую, которую вообще не видно через веб. А то могут в принципе добавить своих паролей туда...
Как не знаю, но мне пихали раньше, пока не положил пароли вне httproot.
|
Угу, я тоже с этим согласен.
|
|
K началу
|
|
| |
begemot
Зарегистрирован: 25.12.03
Сообщения: 172
|
|
Добавлено: 31/03/04 в 17:03
|
|
| sexvendor писал: | | обоснуй |
Wahoven уже высказал основные мысли,
добавлю только что .htaccess можно взломать либо локально (если установлены слабые права доступа к .htpasswd или .htaccess то зайдя в каталог по ftp например) либо взломав сам web-сервер. Другой момент - средний программист пишущий на php гораздо более безграмотен чем программисты занимающиеся разработкой apache, поэтому среднестатистически взломать самописную защиту на php проще чем взломать web-сервер. С другой стороны хакер желающий взломать web-сервер должен быть много более компетентен, и чаще всего ему наплевать на .htaccess'ы
По поводу хранения .htpasswd в каталоге с .htaccess'ом - учитывая что apache по умолчанию закрывает доступ к файлам паролей, то это уже не так опасно, главное правильно назначить права доступа к этому файлу. В качетсве перестраховки я все-таки, как и ivango Core Yahook, рекомендую положить .htpasswd в каталог недоступный из web'а.
|
|
K началу
|
|
| |
spadix
Зарегистрирован: 02.11.03
Сообщения: 119
|
|
Добавлено: 01/04/04 в 00:06
|
|
Спасибо за ответы, все понял.
Еще один дурацкий вопрос: а с помощью php(или еще чего) можно автоматизировать процесс добавления пользователей и пасвордов(и их генерацию) в файл паролей?
|
|
K началу
|
|
| |
Quantum[Tau]
Зарегистрирован: 15.03.04
Сообщения: 618
|
|
Добавлено: 01/04/04 в 02:07
|
|
| spadix писал: | Спасибо за ответы, все понял.
Еще один дурацкий вопрос: а с помощью php(или еще чего) можно автоматизировать процесс добавления пользователей и пасвордов(и их генерацию) в файл паролей? |
Можно, на http://www.HotScripts.com/ посмотри по теме user management.
|
|
K началу
|
|
| |
Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте! |
Внимание! В связи с устареванием топика эта страница была взята из кэша.
|
