Hvordan betale strømregning i Amazon || Perfekt løsning ||

Jeg brukte cpanel på det hostede nettstedet mitt for å sette opp en passordbeskyttet katalog for å tillate nedlasting av bestemte filer.

Jeg sender folk en lenke til filen via e-post og inkluderer brukernavnet og passordet, slik at de kan autentisere og laste ned filen.

Når folk bruker IE, er det en advarsel:

Advarsel om at denne serveren ber om at brukernavnet og passordet ditt sendes på en usikker måte ...

Denne serveren er Apache. Hvordan kan jeg stoppe denne meldingen? Vil SSL stoppe det? Jeg foretrekker å slippe å bruke SSL.

Ja, SSL er svaret. Uten det blir innlogging og passord sendt i ren tekst som er usikker. SSL krypterer påloggingsinformasjonen, slik at den er beskyttet mot avlyttere.

Dette brukernavnet og passordet blir sendt i ren tekst over nettverkstilkoblingen, så det er sårbart for pakkesniffere som wireshark. Som wiki sier: -

Selv om ordningen enkelt implementeres, er den avhengig av antagelsen om at forbindelsen mellom klienten og serverdatamaskiner er sikker og kan stole på. Spesielt, hvis SSL / TLS ikke brukes, sendes legitimasjonen som ren tekst og kan bli fanget opp.

Så du må bruke en eller annen form for SSL for å forhindre at advarselen vises.

Alt som er sagt, for veldig grunnleggende sikkerhet bruker jeg et program kalt Coffee Cup Website Access Manager som genererer .htpaswrd-filer og og laster dem opp til en webserver, og jeg har aldri opplevd (eller hatt en klientopplevelse) en sikkerhetsadvarsel som den du referere til.

  • Sier du at med kaffekopp trenger du ikke SSL?
  • Det ser ut til å være tilfelle, spørsmålet er hvorfor jeg alltid hadde antatt at cPanel genererte htpaswrd-filer, akkurat som kaffekopp. Jeg undersøker akkurat nå forskjellen. Det jeg kan fortelle deg er at jeg har brukt denne programvaren i to år og har aldri sett, eller har en klient sett, en slik advarsel. Vil komme tilbake til deg på grunn.

Enten bruk SSL eller bytt for å fordøye autentisering. HTTP har støttet fordøyelsesautentisering siden HTTP 1.1, og stort sett alle moderne nettlesere (forhåpentligvis til og med lynx har lagt til HTTP-fordøyelse) støtter fordøyelsesautentisering. Det er ikke vanskeligere å implementere eller mer beskatning på serveren eller klienten, så det er egentlig ingen grunn til å fortsette å bruke grunnleggende autentisering.

Det er trist at cPanel og så mange andre webhostes kontrollpaneler fortsatt er standard til grunnleggende autentisering uansett grunn, men de fleste tilfeller (en av mine få grep om DreamHost er at de fortsatt er standard til grunnleggende autentisering for SVN repos, og det er for øyeblikket ingen måte for å endre det manuelt) kan du enkelt konfigurere fordøyelsesautentisering alene.

Du trenger bare å bruke htdigest for å generere en passordfil og endre .htaccess konfigurasjoner til:

AuthType Digest AuthDigestDomain /private/ AuthDigestFile /path/to/.password_file 

Alle de andre HTTP-godkjenningsdirektivene forblir de samme.

  • Hvordan endrer du for å fordøye autentisering ved hjelp av cpanel?

fungert for deg: Charles Robertson | Ønsker du å kontakte oss?