我通过.htaccess , htpassword阻止我的网站。 我从朋友那里听说,这真是一个笑话,可以在一分钟内绕过。 真的吗? 有什么其他方法可以阻止用户/机器人访问我的网站?
如果您的用户使用糟糕的密码,任何密码保护scheme都可以被绕过。 没有技术细节可以弥补使用“密码”作为您的密码。
这就是说,通过未encryption连接的HTTP基本身份validation是垃圾邮件:用户名和密码都是明文发送,可以被任何动机的攻击者拦截。 把它看作是HTTPauthentication协议的Telnet。
如果你在https://(SSLencryption)服务器上运行所有这些,并且无法在pain-old-http://模式下访问受密码保护的位,则最好,因为所有内容encryption旅行通过电线。
在这两种情况下,我会build议使用摘要式身份validation,而不是基本身份validation(甚至通过SSL,由于我固有的偏执狂)。 再一次,你仍然像最可猜测的密码一样脆弱,但这是一个政策问题,你要解决:)
其中一个具体的问题是它是明文authentication,也就是说,用户名和密码是通过networking发送的,除非你通过HTTPS连接。
另外,没有内置的真正的攻击对策,你可以整天蛮横的请求,而且不会阻塞连接。
为了防止漫游器访问您的网站,您可以使用robots.txt: http : //www.robotstxt.org/
谷歌和所有尊重这个文件,但如果你在谈论黑客机器人,这将无济于事。
htaccess身份validation并不完全安全,但它可能比使用PHP脚本进行身份validation要好,但是会有相同的问题,但会增加额外的PHP漏洞。
如果您使用htaccess身份validation以及特定的白名单IP地址范围(“允许来源”),并通过HTTPS连接,我会考虑相当安全。 为了提高安全性,您可以在防火墙级别configurationIP白名单,而不是Apache级别。