Toon posts:

Apache subdirectories beveiligen (niet basic of digest)

Pagina: 1
Acties:

vrijdag 17 februari 2006 00:50

Acties:
  • Fl4sh3r
  • Registratie: Juni 2002
  • Laatst online: 02-10-2023

Fl4sh3r

Topicstarter
Al enige tijd ben ik opzoek naar een goeie, veilig manier om subdirectories van mijn website 'echt' te beveiligen.

Ik heb 'Basic Authentication' al jaren gebruikt, maar daarbij worden wachtwoord plain-text (zij het Base64 encoded) verstuurd.
Als alternatief heb ik 'Digest Authentication' gevonden. Hierbij worden wachtwoorden MD5 versleuteld verstuurd en zijn deze dus niet leesbaar. Als echter het netwerkverkeer wordt afgeluisterd is wel de MD5-hash bekend die nodig is om in te loggen.

Nu ben ik opzoek naar een manier die wél veilig is.

PS van het subforum ben ik niet zo zeker, sorry voor het ongemak van eventueel verplaatsen

vrijdag 17 februari 2006 00:53

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Apache zelf zal geen andere login kunnen geven, daarvoor zul je een server-side script moeten hebben, zoals PHP en dan zijn de mogelijkheden uiteraard praktisch eindeloos :P

vrijdag 17 februari 2006 01:00

Acties:
  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 06-02 11:23

DJSmiley

Host je de zut zelf? (maw heb je eigen beheer over je apache)

Dan kun je, als je de zooi echt dicht wilt hebben, zeker eens kijken naar SSL. (httpS).

Al vraag ik me af waarom je de apache basic of digest beveiliging niet genoeg vind. Als de info al dermate gevoelig is had ik vanaf begin af aan al SSL gebruikt......


Zonder SSL kun je ook wel iets redelijk in elkaar klussen bij gebrek aan wat anders: Knup aan elke login een sessie, gebonden aan IP adres van de op dat moment ingelogde gebruiker.

[ Voor 23% gewijzigd door DJSmiley op 17-02-2006 01:02 ]

vrijdag 17 februari 2006 01:07

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Fl4sh3r schreef op vrijdag 17 februari 2006 @ 00:50:
Als alternatief heb ik 'Digest Authentication' gevonden. Hierbij worden wachtwoorden MD5 versleuteld verstuurd en zijn deze dus niet leesbaar. Als echter het netwerkverkeer wordt afgeluisterd is wel de MD5-hash bekend die nodig is om in te loggen.
Het punt van digest-auth is dat dat niet kan. Digest is een challenge-response authentication scheme. Zie http://rfc.net/rfc2617.html.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 17 februari 2006 01:16

Acties:
  • siknu
  • Registratie: Februari 2004
  • Laatst online: 04-01 15:29

siknu

Misschien richting de directory directive gaan denken?

<Directory />
Order Deny,Allow
Deny from All
</Directory>

Kijk ook hier eens http://httpd.apache.org/docs/2.2/misc/security_tips.html.

Heb je geen directe toegang tot de conf's dan kan je een .htaccess file met dergelijke directives uploaden naar je subdirs als je hoster je wel toestaat die te gebruiken.

[ Voor 11% gewijzigd door siknu op 17-02-2006 01:18 ]

vrijdag 17 februari 2006 01:40

Acties:
  • Fl4sh3r
  • Registratie: Juni 2002
  • Laatst online: 02-10-2023

Fl4sh3r

Topicstarter
Bedankt voor jullie reacties op die late tijdstip.

Even wat antwoorden:
- Ik host zelf (Linux, Apache 1.3, PHP, MySQL, ...)
- Ook https heb ik wat mee geëxperimeteerd en heb ik problemen mee ondervonden
- PHP met sessions aan IP gekoppeld is een reëele oplossing, het lastige hieraan vind ik echter dat ik de hele dir wil beveiligen en niet iedere pagina of subdir die daarin staat afzonderlijk.

Opzich hoeven de pagina's alleen voor mij en eventueel andere personen (die duidelijk instucties kunnen krijgen) benaderbaar te zijn.

vrijdag 17 februari 2006 09:42

Acties:
  • WHiZZi
  • Registratie: Januari 2001
  • Laatst online: 14:07

WHiZZi

Museumdirecteurtje

Dan is dit toch een optie:

code:
1
2
3
4
5

<Directory />
Order Deny,Allow
Allow from $ip
Deny from All
</Directory>


Dan heb je de hele dir op IP basis al afgeschermd. Digest Auth er eventueel nog bij en https, dan heb je echt wel een secure verbinding..

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.

vrijdag 17 februari 2006 11:54

Acties:
  • Fl4sh3r
  • Registratie: Juni 2002
  • Laatst online: 02-10-2023

Fl4sh3r

Topicstarter
Ik wil er wel graag vanaf verschillende locaties op kunnen.
En dan zou ik dus de IPs van al die locaties moeten achterhalen en toevoegen...

vrijdag 17 februari 2006 12:43

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Nogmaals, digest authenticatie is niet onveilig. Gebruik dat gewoon.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 17 februari 2006 12:50

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

gewoon SSL.

Het is nu zo dat als je je digest enzo gebruikt mensen die sniffen je pass niet kunnen lezen , maar de rest van de data wel. Ligt er beetje aan, maar denk niet dat je er zo blij mee bent.

SSL voorkomt dat, en je kunt je password veilig (plain zelfs) versturen: alles gaat door de SSL tunnel.
Het is echt niet moeilijk te installeren, alleen zou ik wel eens naar apache2.x kijken.

Zaram module kopen voor je glasvezelaansluiting?

vrijdag 17 februari 2006 12:54

Acties:
  • Fl4sh3r
  • Registratie: Juni 2002
  • Laatst online: 02-10-2023

Fl4sh3r

Topicstarter
Gezien de reacties hier houd ik het dan maar op SSL met Digest.

Bedankt voor jullie info.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq