Kasutasin oma hostitud saidil cpanelit parooliga kaitstud kataloogi seadistamiseks, et võimaldada konkreetsete failide allalaadimist.

Ma saadan inimestele faili lingi e-posti teel ja lisan nende kasutajanime ja parooli, et nad saaksid faili autentida ja alla laadida.

Kui inimesed kasutavad IE-d, on hoiatusteade:

Selle serveri hoiatamine nõuab teie kasutajanime ja parooli ebaturvalist saatmist ...

See server on Apache. Kuidas saan selle sõnumi ilmumise peatada? Kas SSL peatab selle? Ma eelistaksin, et ei peaks SSL-i kasutama.

Jah, SSL on vastus. Ilma selleta saadetakse nende sisselogimine ja parool lihttekstina, mis on ebaturvaline. SSL krüpteerib nende sisselogimisteabe, nii et see on pealtkuulajate eest kaitstud.

Seda kasutajanime ja parooli saadetakse lihttekstina üle võrguühenduse, nii et see on haavatav pakettnuusutajate, nagu traadijuht. Nagu wiki ütleb:

Ehkki skeem on hõlpsasti rakendatav, tugineb see eeldusele, et ühendus kliendi ja serveri arvutite vahel on turvaline ja seda saab usaldada. Täpsemalt, kui SSL / TLS-i ei kasutata, edastatakse mandaat teksttekstina ja neid saab pealtkuulata.

Nii et hoiatuse ilmumise vältimiseks peaksite kasutama mingit SSL-vormi.

Kõik see tähendab, et väga elementaarseks turvalisuseks kasutan programmi Coffee Cup Website Access Manager, mis genereerib .htpaswrd-failid ja laadib need üles veebiserverisse ning ma pole kunagi kogenud (ega olnud kliendikogemust) sellist turvahoiatust nagu teie viitama.

  • Kas tahate öelda, et kohvitassi puhul pole teil SSL-i vaja?
  • See näib olevat nii, küsimus on selles, miks ma olin alati eeldanud, et cPanel genereerib htpaswrd-faile, täpselt nagu kohvitassi. Uurin just erinevust. Võin teile öelda, et olen seda tarkvara juba kaks aastat kasutanud ega ole kunagi sellist hoiatust näinud ega klientki näinud. Pöördun teie poole põhjusel.

Autentimise kokkuvõtmiseks kasutage kas SSL-i või lülitage. HTTP on alates HTTP 1.1-st toetanud kokkuvõtlikku autentimist ja peaaegu kõik kaasaegsed brauserid (loodetavasti on praeguseks isegi ilves HTTP-kokkuvõtte lisanud) toetavad kokkuvõtlikku autentimist. Serveris või kliendis pole seda keerulisem rakendada ega maksustada, nii et pole enam põhjust jätkata põhilise autentimise kasutamist.

On kurb, et cPanel ja nii paljude teiste veebihaldurite juhtpaneelid vaikivad vaikimisi mis tahes põhjusel põhiautentimisega, kuid enamikul juhtudel (üks minu vähestest haaretest DreamHostiga on see, et vaikimisi on need ikkagi SVN-i repode põhiautentimise jaoks ja praegu pole võimalust käsitsi muutmiseks) saate hõlpsasti iseseisva autentimise seadistada.

Peate lihtsalt kasutama htdigest paroolifaili genereerimiseks ja .htaccess konfiguratsioonid:

AuthType Digest AuthDigestDomain /private/ AuthDigestFile /path/to/.password_file 

Kõik muud HTTP-autentimise direktiivid jäävad samaks.

  • Kuidas muuta autentimist cpaneli abil?

none: Charles Robertson | none