Je crée essentiellement quelque chose hors de mon domaine principal www.mywebsite.com/intranet
. J'ai créé la protection . Htpasswd pour ce répertoire intranet
.
Je ne peux pas encore mettre en place de mots de passe utilisateur individuels et je veux utiliser . Htpasswd comme solution provisoire.
Quel est le niveau de sécurité de cette méthode?
Quelles mesures dois-je prendre pour rendre cela plus sécurisé? Quelles autorisations pour . Htaccess et . Htpasswd?
Voici les inconvénients de l'authentification de base selon WikiPedia :
Bien que le schéma soit facile à mettre en œuvre, il repose sur l’hypothèse que la connexion entre les ordinateurs client et serveur est sécurisée et fiable. Plus précisément, si SSL/TLS n'est pas utilisé, les informations d'identification sont transmises en texte clair et peuvent être interceptées.
Les navigateurs existants conservent les informations d'authentification jusqu'à ce que l'onglet ou le navigateur soit fermé ou que l'utilisateur efface l'historique. 1 HTTP ne fournit pas de méthode à un serveur pour demander aux clients de supprimer ces informations d'identification mises en cache. Cela signifie qu’il n’existe aucun moyen efficace pour un serveur de "déconnecter" l’utilisateur sans fermer le navigateur. Il s’agit d’un défaut important qui oblige les fabricants de navigateurs à prendre en charge un élément d’interface utilisateur ou une API "logout" disponible pour JavaScript, des extensions supplémentaires pour HTTP ou l’utilisation de techniques alternatives existantes, telles que la récupération de la page sur SSL/TLS avec une chaîne impossible à deviner. URL.
Comme le mot "basique" dans son nom l'indique, il offre une protection très basique, mais pas beaucoup plus que cela. Si vous envisagez de l'utiliser comme mesure d'espacement jusqu'à ce que vous puissiez mettre en place un schéma d'authentification personnalisé, il est définitivement préférable à rien. Mais si votre objectif est la "vraie" sécurité, alors vous devriez implémenter un système d’authentification personnalisé dès que possible.