Autor | Zpráva | ||
---|---|---|---|
StepanMatl Profil |
#1 · Zasláno: 14. 12. 2020, 18:00:52
Zdravím, snažím se zabezpečit adresář autentifikací, kterou ale chci přeskočit, pokud URL obsahuje určitý parametr.
Tento zápis funguje pro Apache 2.4: AuthType Basic AuthName "Nejsi robot?" AuthUserFile /cesta/.htpasswd Require expr %{QUERY_STRING} =~ /.*parametr=hodnota.*/ Require valid-user Potřeboval bych ale ještě verzi pro starší Apache a ideálně s podmínkami, aby se použil správný zápis podle verze. Děkuji |
||
mckay Profil |
#2 · Zasláno: 15. 12. 2020, 13:51:49
Nemám dostatečné znalosti Apache, abych poradil. Z pohledu bezpečnosti ale - URL parametr jako cesta obejití autentifikace - to nebude moc dobrý zabezpečení.
Už třeba proto, že prohlížeče mají historii do které ukládají navštívené stránky (a pokud na stránce nebude https, tak "lidi" po cestě mezi uživatelem a serverem budou schopni zachytit ty bypass parametry taky). |
||
StepanMatl Profil |
O bezpečnost v tomhle případě nejde, smyslem je odfiltrování brute-force útoku botnetu na přihlašovací formulář. Nevadí, pořešil jsem to až na úrovni PHP.
|
||
Keeehi Profil |
#4 · Zasláno: 16. 12. 2020, 03:21:23
Obecně poznámka mckay o historii prohlížeče je správně. Ovšem pokud ta stránka nebude na https, tak je úplně jedno, jestli "heslo" (tajná informace) je v URL, cookie nebo někde jinde. Po cestě ji bude možné odposlechnout.
StepanMatl: Pokud odchytáváš neexistující adresy, které víš že zkouší různí roboti na jejich následné odstřihnutí, bezpečnostní riziko by to být nemělo. Taky nejsem s Apachem největší kamarád, ale toto httpd.apache.org/docs/2.4/sections.html#expressions vypadá, že by ti mohlo pomoct, pokud bys to chtěl řešit ještě na straně Apache. |
||
Časová prodleva: 4 roky
|
0