Jak platit účet za elektřinu v Amazonu || Perfektní řešení ||

Na svém hostovaném webu jsem použil cpanel k vytvoření adresáře chráněného heslem, který umožňoval stahování konkrétních souborů.

Posílám lidem odkaz na soubor e-mailem a uvádím jejich uživatelské jméno a heslo, aby mohli soubor ověřit a stáhnout.

Když lidé používají IE, zobrazí se varovná zpráva:

Varování, že tento server požaduje nezabezpečené zaslání vašeho uživatelského jména a hesla ...

Tento server je Apache. Jak mohu zabránit zobrazování této zprávy? Zastaví to SSL? Raději bych nemusel používat SSL.

Ano, SSL je odpověď. Bez něj jsou jejich přihlašovací údaje a heslo zasílány v nezabezpečeném prostém textu. SSL šifruje jejich přihlašovací údaje, takže je zabezpečené před odposlechy.

Toto uživatelské jméno a heslo se odesílá prostým textem přes síťové připojení, takže je zranitelné vůči čichačům paketů, jako je wirehark. Jak říká wiki: -

Ačkoli je schéma snadno implementovatelné, spoléhá se na předpoklad, že připojení mezi počítači klienta a serveru je zabezpečené a lze mu důvěřovat. Konkrétně, pokud se nepoužívá SSL / TLS, přihlašovací údaje se předávají jako prostý text a lze je zachytit.

Abyste zabránili zobrazení varování, museli byste použít nějakou formu SSL.

Všechno, co bylo řečeno, používám pro velmi základní zabezpečení program s názvem Coffee Cup Website Access Manager, který generuje soubory .htpaswrd a nahrává je na webový server a nikdy jsem nezažil (nebo neměl klientskou zkušenost) bezpečnostní varování jako ten, který vy odkazují na.

  • Říkáte, že u šálku kávy nepotřebujete SSL?
  • Zdá se, že tomu tak je, otázkou je, proč jsem vždy předpokládal, že cPanel generuje soubory htpaswrd, stejně jako šálek kávy. Právě zkoumám rozdíl. Mohu vám říci, že tento software používám 2 roky a nikdy jsem takové varování neviděl ani neviděl. Ozveme se vám z toho důvodu.

Použijte SSL nebo přepněte na ověřování ověřování. HTTP podporuje ověřování digestu od HTTP 1.1 a téměř všechny současné prohlížeče (doufejme, že nyní již lynx přidal HTTP digest) podporují ověřování digestu. Už není obtížné implementovat nebo již více zdanit server nebo klienta, takže ve skutečnosti již není důvod pokračovat v používání základního ověřování.

Je smutné, že cPanel a tolik dalších ovládacích panelů webových hostitelů z jakéhokoli důvodu stále výchozí základní ověřování, ale většina případů (jedním z mých několika úchopů s DreamHost je, že stále výchozí základní ověřování pro repozitáře SVN a v současné době neexistuje ručně změnit) můžete snadno nastavit ověřování digestu sami.

Musíte jen použít htdigest vygenerovat soubor hesla a změnit .htaccess konfigurace:

AuthType Digest AuthDigestDomain /private/ AuthDigestFile /path/to/.password_file 

Všechny ostatní směrnice pro ověřování HTTP zůstávají stejné.

  • Jak se změníte při ověřování pomocí cpanelu?

Pracoval pro vás: Charles Robertson | Chcete nás kontaktovat?