Autor Zpráva
StepanMatl
Profil
Zdravím, snažím se zabezpečit adresář autentifikací, kterou ale chci přeskočit, pokud URL obsahuje určitý parametr.

Tento zápis funguje pro Apache 2.4:

AuthType Basic
AuthName "Nejsi robot?"
AuthUserFile /cesta/.htpasswd
Require expr %{QUERY_STRING} =~ /.*parametr=hodnota.*/
Require valid-user

Potřeboval bych ale ještě verzi pro starší Apache a ideálně s podmínkami, aby se použil správný zápis podle verze.

Děkuji
mckay
Profil
Nemám dostatečné znalosti Apache, abych poradil. Z pohledu bezpečnosti ale - URL parametr jako cesta obejití autentifikace - to nebude moc dobrý zabezpečení.

Už třeba proto, že prohlížeče mají historii do které ukládají navštívené stránky (a pokud na stránce nebude https, tak "lidi" po cestě mezi uživatelem a serverem budou schopni zachytit ty bypass parametry taky).
StepanMatl
Profil
O bezpečnost v tomhle případě nejde, smyslem je odfiltrování brute-force útoku botnetu na přihlašovací formulář. Nevadí, pořešil jsem to až na úrovni PHP.
Keeehi
Profil
Obecně poznámka mckay o historii prohlížeče je správně. Ovšem pokud ta stránka nebude na https, tak je úplně jedno, jestli "heslo" (tajná informace) je v URL, cookie nebo někde jinde. Po cestě ji bude možné odposlechnout.

StepanMatl:
Pokud odchytáváš neexistující adresy, které víš že zkouší různí roboti na jejich následné odstřihnutí, bezpečnostní riziko by to být nemělo.

Taky nejsem s Apachem největší kamarád, ale toto httpd.apache.org/docs/2.4/sections.html#expressions vypadá, že by ti mohlo pomoct, pokud bys to chtěl řešit ještě na straně Apache.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0