Насколько безопасна базовая авторизация Apache

безопасна на 50% . или безопасна или нет :)

p.s. может все-таки сформулируете от каких именно сценариев нарушающих "безопасность" вы хотите защититься ? или предлагаете форуму додумать все возможные сценарии ?

1.От сценария попадания в административную часть, в обход ввода логина и пароля.

2. От сценария использования не защищенных проверками на спецсимволы, форм ввода, находящихся в административной части, не авторизованному пользователю. (SQL инекции, XSS там всякие или заливка шелла)

anton831 добавил 06.12.2011 в 16:35

Даже наверное вопрос более касается пункта 2, так как по пункту 1, больше будет наверное зависеть от настроек сервера и безопасности передачи трафика с компа, с которого осуществляется вход.

запуск скрипта в запароленном таким образом url без знания пароля невозможен. это не значит, что скрипт нельзя будет запустить воздействуя на поведение других скриптов по другому незапароленному URL.

но вообще это слабая непрактичная защита. администратор приходит в макдоналдс и хакер за соседним столиком спокойно подслушивает пароль и пользуется им для полного доступа к функциям админки, а может быть и внедрением закладок на сайт.

как этот вопрос вообще мог возникнуть? авторизацию изображает apache и он на поведение php никак не влияет - это разные модули.

обычно требования к качеству "админского" кода снижены именно из-за того, что кто попало туда не попадет.

но если админка многоуровневая, то завладев вроде бы неважным паролем например, контент-менеджера, можно с помощью инъекций и прочих уязвимостей в коде админки что-то еще сделать.

Там не один из скриптов на сайте, не взаимодействует со скриптами с админки, то есть админка у меня фактически только осуществляет управление БД, а за вывод информации и обработку входящей информации, отвечают другие фаилы.

Я правильно понимаю, что в такой ситуации единственный вариант взлома, это перехват трафика, ну или взлом самого сервака (что от меня не очень зависит, т.к хостинг)?

Я это понимаю, я немного не это имел в виду.

Я хотел спросить - может ли злоумышленник, сгенерировать поддельный http запрос и отправить в его теле вредоносные POST данные, к обработчику находящимся в закрытой директории от имени форм, так же находящихся в закрытой директории? Как то так, я не спец, поэтому и спрашиваю.

Похоже, Вы предложением выше, на этот вопрос и ответили.

Да нет, там простая админка, без разделения прав.

многие так думают. опасность в том что скрипты можно заставить делать совсем не то, для чего они предназначены. подобные возможности и называются "дырами".

нет. найдется еще 500 вариантов. защищенность - показатель вероятностный.

но да, сценарий с перехватом пароля требует перехвата трафика в незащищенной сети. при обычном домашнем подключении и установленном антивирусе вероятность перехвата низкая.

ну он же не знает пароль, поэтому скрипт в админке даже не запустится.

Да, вы правы, только что преспокойно "заинклудил" фаил из запароленной директории и выполнил функцию из него-же ..........

Но к счастью, я include использую только со статичными адресами подключаемых фаилов.

А вот другой вопрос, может ли кто то с другого домена (возможно даже с того же сервера), подключить фаил из моей админки, если allow_url у хостера закрыто.

Можно ли как то обойти это ограничение?

все возможно. можно хоть целыми днями параноить. только вы тогда вообще перестанете программировать и выдавать продукт.