Je m'excuse d'avance si c'est une question évidente: l'authentification de base Apache 2.0 + SSL + peut-elle être utilisée pour sécuriser un site web? La façon dont je le vois, SSL crée une connexion sécurisée entre le client et le serveur et ainsi toutes les demandes HTTP contenant le mot de passe en clair ne devrait pas être un problème de sécurité.Apache basic authentication
grâce, S.
Vous avez raison, auth de base est sécurisé aussi longtemps que vous pouvez garantir la connexion est de bout en bout chiffré. Cela signifie que vous devez configurer le serveur pour forcer l'utilisation de SSL en redirigeant les requêtes HTTP vers HTTPS ou n'accepter aucune connexion non cryptée pour cette URL.
« Le seul ordinateur entièrement sécurisé est celui qui est débranché et éteint »
Cela dit, la réponse de Jim est assez bon si vous acceptez le niveau SSL de sécurité :)
Merci Jim, se révèle malheureusement je devra utiliser une authentification basée sur la session puisque je dois aussi pouvoir me déconnecter des utilisateurs. –
Vous devriez toujours forcer SSL. Les mêmes mises en garde s'appliquent à l'authentification basée sur un formulaire, car un mot de passe doit être transmis. –
Vous pouvez vous déconnecter des utilisateurs avec Basic Auth, en quelque sorte. Ce n'est pas très joli et Apache n'a aucune méthode pour le faire. Ce que vous devez faire est POST à un script '/ logout' qui renvoie 401 lorsque l'utilisateur passe * correct * auth. Vous demandez ensuite à l'utilisateur de soumettre des détails erronés au dialogue d'authentification (généralement, nom d'utilisateur/mot de passe vide). Votre script répond 200 ou 303, à quel point le navigateur renvoie l'authentification correcte en faveur du non-auth. – bobince