Bezpieczenśtwo własnej aplikacji

[PRE 1]

Zastanawiamsię nad bezpieczeństwem pewnej aplikacji PHP którą stworzyłem. Mimo iż na testach spędziłem kilka dni to gromadzone są w niej ważne dane więc postanowiłem dodatkow zabezpieczyć ją plikiem .htaccess (401). Zastanawiam się, czy takie zabezpieczenie jest do sforsowania. Sam serwer zabezpieczyłem podobnie jak radzicie w tym temacie. (Apache nie wysyła sygnatur, nie zwraca błędów 403, do SSH służy osobne IP) Pytanie tylko, czy 401 coś daje?

[guziec 109]

Zastanawiamsię nad bezpieczeństwem pewnej aplikacji PHP którą stworzyłem. Mimo iż na testach spędziłem kilka dni to gromadzone są w niej ważne dane więc postanowiłem dodatkow zabezpieczyć ją plikiem .htaccess (401). Zastanawiam się, czy takie zabezpieczenie jest do sforsowania. Sam serwer zabezpieczyłem podobnie jak radzicie w tym temacie. (Apache nie wysyła sygnatur, nie zwraca błędów 403, do SSH służy osobne IP) Pytanie tylko, czy 401 coś daje?

 

Niewiele (żeby nie powiedzieć że nic nie daje), jeśli połączenie nie jest szyfrowane przez SSL.

[kafi 2425]

Zależy, jakie 401.

Jeśli poprzez auth_digest, to coś tam niecoś da i nawet wszelakie sniffery będą w miarę niegroźne.

A jeśli przez standardowe auth_basic, to otwierasz się wręcz na włamania z sieci wewnętrznej - byle jaki analizator ruchu sieciowego to hasło wypluje bez jakichkolwiek wysiłków.

 

( bo jeśli jest to formularz POST z hasłem, to trzeba się lekko wysilić, a w przypadku 401 wystarczy filtr w wiresharku, który to bezproblemowo takie logowania wyświetli ).

[PRE 1]

Dokładnie to autentykacja 401 potrzebna jest żeby wyświetlic formularz logowania dostępny tylko i wyłącznie po SSLu. Z racji że czesc uzytkownikow korzysta z sieci wewnetrznej a ustawione mialem auth_basic, zrezygnowalem z niego. Sama aplikacja sadze nie jest podatna na SQL injection.