Используя Apache, довольно просто настроить страницу, которая использует основную аутентификацию доступа, чтобы предложить пользователю имя/пароль и использовать те учетные данные в некотором роде для предоставления доступа тому пользователю.
Это безопасно, предполагая, что соединение между клиентом и сервером безопасно?
Беспокойство по поводу базового auth заключается в том, что учетные данные отправляются в виде открытого текста и уязвимы для перехвата пакетов. Если это соединение защищено с помощью TLS/SSL, то оно так же безопасно, как и другие методы, использующие шифрование.
Как следует из названия, «Базовая аутентификация» - это всего лишь базовый механизм безопасности. Не полагайтесь на него, чтобы обеспечить вам беспроблемную безопасность.
Использование SSL делает его немного более безопасным, но есть более эффективные механизмы.
Если вы генерируете пароли с помощью htpasswd
, перейдите на htdigest
.
Дайджест-аутентификация безопасна даже при незашифрованных соединениях, и ее так же легко настроить. Конечно, базовая аутентификация подходит для ssl-соединений, но зачем рисковать, если можно с такой же легкостью использовать аутентификацию digest?
.