Usando o .htaccess para excluir todos os user-agents do site privado

2

Em relação a um site que você deseja manter em sigilo, em uma situação em que você não pode restringir / permitir ip's para seus usuários e a proteção por senha não pode ser implementada. Mas você pode fazer com que seus usuários usem um user agent personalizado.

Para uma primeira linha de defesa, estou pensando em negar todos os user-agents e permitir um ambíguo.

A documentação do Apache diz:

Access control by User-Agent is an unreliable technique, since the User-Agent header can be set to anything at all, at the whim of the end user.

Mas eu acho que, ao contrário de negar tudo e apenas aceitar um, pode ser bastante eficaz.

Minhas perguntas são 1.) dando a situação isso parece uma boa solução 2.) existe uma maneira de as pessoas descobrirem quais agentes-usuários são permitidos em um determinado servidor?

    
por bMon 23.01.2011 / 01:45

1 resposta

2

But I figure in the reverse fashion of denying all and only accepting one it could be quite effective.

A documentação que você citou está alertando especificamente contra o que você está sugerindo.

A menos que seu tráfego esteja passando por um canal criptografado (HTTPS) (provavelmente não é o caso se você não tiver a opção de usar qualquer outro meio de autenticação), um observador casual em qualquer lugar entre a rede do cliente e a rede de destino será capaz de ver quais agentes de usuário são "aceitos" pelo seu serviço - ou seja, você não tem garantia de privacidade.

    
por 23.01.2011 / 04:18