| Autor | Zpráva | ||
|---|---|---|---|
| StepanMatl Profil |
#1 · Zasláno: 14. 12. 2020, 18:00:52
Zdravím, snažím se zabezpečit adresář autentifikací, kterou ale chci přeskočit, pokud URL obsahuje určitý parametr.
Tento zápis funguje pro Apache 2.4: AuthType Basic
AuthName "Nejsi robot?"
AuthUserFile /cesta/.htpasswd
Require expr %{QUERY_STRING} =~ /.*parametr=hodnota.*/
Require valid-userPotřeboval bych ale ještě verzi pro starší Apache a ideálně s podmínkami, aby se použil správný zápis podle verze. Děkuji |
||
| mckay Profil |
#2 · Zasláno: 15. 12. 2020, 13:51:49
Nemám dostatečné znalosti Apache, abych poradil. Z pohledu bezpečnosti ale - URL parametr jako cesta obejití autentifikace - to nebude moc dobrý zabezpečení.
Už třeba proto, že prohlížeče mají historii do které ukládají navštívené stránky (a pokud na stránce nebude https, tak "lidi" po cestě mezi uživatelem a serverem budou schopni zachytit ty bypass parametry taky). |
||
| StepanMatl Profil |
O bezpečnost v tomhle případě nejde, smyslem je odfiltrování brute-force útoku botnetu na přihlašovací formulář. Nevadí, pořešil jsem to až na úrovni PHP.
|
||
| Keeehi Profil |
#4 · Zasláno: 16. 12. 2020, 03:21:23
Obecně poznámka mckay o historii prohlížeče je správně. Ovšem pokud ta stránka nebude na https, tak je úplně jedno, jestli "heslo" (tajná informace) je v URL, cookie nebo někde jinde. Po cestě ji bude možné odposlechnout.
StepanMatl: Pokud odchytáváš neexistující adresy, které víš že zkouší různí roboti na jejich následné odstřihnutí, bezpečnostní riziko by to být nemělo. Taky nejsem s Apachem největší kamarád, ale toto httpd.apache.org/docs/2.4/sections.html#expressions vypadá, že by ti mohlo pomoct, pokud bys to chtěl řešit ještě na straně Apache. |
||
|
Časová prodleva: 5 let
|
|||
0