• Basic Authentication Offers No Security
    		•

    Kali Linux Revealed




    Download 11,68 Mb.
    Pdf ko'rish
    bet73/174
    Sana15.01.2024
    Hajmi11,68 Mb.
    #137314
    1   ...   69   70   71   72   73   74   75   76   ...   174
    Bog'liq
    Kali-Linux-Revealed-2021-edition

    Requiring Authentication In some circumstances, access to part of a website needs to be re-
    stricted, so only legitimate users who provide a username and a password are granted access to
    the contents.
    The
    .htaccess
    file contains Apache configuration directives enforced each time a request con-
    cerns an element from the directory where the
    .htaccess
    file is stored. These directives are
    recursive, expanding the scope to all subdirectories.
    Most of the directives that can occur in a Directory block are also legal in an
    .htaccess
    file. The
    AllowOverride directive lists all the options that can be enabled or disabled by way of
    .htaccess
    .
    A common use of this option is to restrict ExecCGI, so that the administrator chooses which users
    are allowed to run programs under the web server’s identity (the www-data user).
    Example 5.3
    .htaccess
    File Requiring Authentication
    Require valid-user
    AuthName ”Private directory”
    AuthType Basic
    AuthUserFile /etc/apache2/authfiles/htpasswd-private
    120
    Kali Linux Revealed

    Basic Authentication
    Offers No Security
    The authentication system used in the above example (
    Basic
    ) has minimal security
    as the password is sent in clear text (it is only encoded as
    base64
    , which is a simple
    encoding rather than an encryption method). It should also be noted that the docu-
    ments protected by this mechanism also go over the network in the clear. If security
    is important, the entire HTTP session should be encrypted with Transport Layer Se-
    curity (TLS).
    The
    /etc/apache2/authfiles/htpasswd-private
    file contains a list of users and passwords; it
    is commonly manipulated with the
    htpasswd
    command. For example, the following command is
    used to add a user or change their password:
    htpasswd /etc/apache2/authfiles/htpasswd-private user
    New password:
    Re-type new password:
    Adding password for user user

    Download 11,68 Mb.
    1   ...   69   70   71   72   73   74   75   76   ...   174




    Download 11,68 Mb.
    Pdf ko'rish