Linux Apache领域安全吗?
我们的高级开发人员告诉我,Apache领域(使用.htaccess文件或httpd配置)是不安全的,因此在任何类型的管理后端系统中使用都是不好的做法。这是真的吗 在我看来,人们无论如何都看不到apache下的任何.htxxx文件,那么其他人怎么能绕过一个领域呢?当然,如果他们在你的服务器内,那么他们可以随心所欲,但在这一点上,任何安全都是不安全的,对吗 有没有黑客或绕过某个领域的方法?它们使用起来不安全吗Linux Apache领域安全吗?,linux,apache,security,Linux,Apache,Security,我们的高级开发人员告诉我,Apache领域(使用.htaccess文件或httpd配置)是不安全的,因此在任何类型的管理后端系统中使用都是不好的做法。这是真的吗 在我看来,人们无论如何都看不到apache下的任何.htxxx文件,那么其他人怎么能绕过一个领域呢?当然,如果他们在你的服务器内,那么他们可以随心所欲,但在这一点上,任何安全都是不安全的,对吗 有没有黑客或绕过某个领域的方法?它们使用起来不安全吗 如果是这样的话,示例将非常有用。以下是http基本身份验证的一些常见缺点,没有特定的顺序,
如果是这样的话,示例将非常有用。以下是http基本身份验证的一些常见缺点,没有特定的顺序,也没有特定的认可
- 使用apache作为安全层意味着ops人员负责关键层,而不是开发人员。这可能意味着绕过代码审查和其他措施,具体取决于您所在部门的设置
- 使用realms意味着您容易受到各种众所周知的攻击,而定制登录php解决方案可能更加模糊,不太可能被探测到。(也许)
- apache领域依赖于特定的已知格式的已知文件,这意味着任何涉及向系统添加或编辑文件的缺陷都可能危及您的登录
- apache realms也可能通过shell命令受到攻击,这意味着任何涉及exec或系统的缺陷都可能危及您的登录
- apache领域易受暴力攻击,因为它们不支持验证码或速率限制
- 你的密码文件被盗意味着你所有的密码都可能被泄露,如果你有很多用户,这可能会引起很多麻烦
- 拥有敏感密码文件可能会使部署、备份等变得复杂
以上所有问题都是可以解决的,与大多数安全性争论一样,可能有正确的答案,最有可能的是您的高级开发人员有许多您不了解的原因。请您的高级开发人员详细说明。我认为Apache Realms没有任何问题。不过,您可能希望对经过身份验证的页面使用HTTPS。他们告诉您使用什么替代方法?如果您无法提出问题,请按照您的上级的要求执行,并在代码中对您的意见进行适当的注释。谢谢。解释得很好:)