Quão seguro é o .htaccess?

1

Eu tenho um site pessoal que quero bloquear para todos, menos eu. Eu tenho usado um arquivo .htaccess um pouco e muito parecido (eles nem vêem uma página da Web, apenas a caixa de login), mas isso me protegerá de tudo? E os mecanismos de pesquisa ainda podem me analisar?

Estou pensando em adicionar listas de senha aqui e quero que elas sejam bloqueadas.

    
por nohat 30.05.2011 / 17:10

2 respostas

2

Em termos de bloqueio de mecanismos de pesquisa por meio da string user-agent, isso é bastante trivial. Em termos de bloqueio de usuários por sua string user-agent, esqueça, é um desperdício de tempo .

Se você estiver configurando um login de autenticação básica, esteja ciente de que eles são suscetíveis a ataques de força bruta e as senhas serão enviadas em texto simples. Eu recomendaria o uso de SSL se você for configurar isso para alguma segurança adicional. Você pode estar interessado em ModSecurity também se estiver preocupado com a força bruta.

Eu recomendaria postar seu arquivo .htaccess também antes de colocá-lo no lugar para que ele possa ser avaliado por qualquer problema.

    
por 30.05.2011 / 17:15
1

Um arquivo .htaccess é um conjunto de instruções para o seu servidor web. Se você solicitar a autenticação antes de exibir as páginas, isso se aplicará a todos , mecanismos de pesquisa incluídos (e somente você terá a senha).

Verifique se o seu arquivo de senha não está em um diretório acessível publicamente. Você pode usar essa diretiva para bloquear completamente o acesso a arquivos que começam com ".ht", embora, se todo o seu site for protegido por senha, isso não seja um problema.

<FilesMatch "^\.ht(.*)$">
  Deny from all
</FilesMatch>

Observe que, se sua conexão não for criptografada por SSL, essa configuração não será totalmente segura. Qualquer pessoa entre você e o servidor web pode interceptar sua conexão e farejar sua senha - por exemplo, se você estiver usando wi-fi público em um café. No entanto, considere quanta segurança você precisa, porque o SSL pode ser complicado e caro de configurar. Para fins práticos, um arquivo .htaccess deve ser suficiente para manter os visitantes indesejados longe do seu site.

P.S. Use a autenticação HTTP Digest em vez do Basic - é um pouco mais seguro.

    
por 30.05.2011 / 17:36