在考虑使用WebDAV时应该注意哪些安全后果? 人们如何去保护它? 还有什么我应该知道的呢?
WebDav由它自己没有任何安全性。 它会让任何人触摸任何东西。 它在标准文档中说,这应该在Web服务器层(或应用程序,如果它提供了WebDAV服务)中处理。
authentication
WebDAV没有本地身份validation服务,所以需要放在它的前面。 不同的networking服务器处理这个不同,取决于你使用的是什么样的dav模块。 特定于服务器的模块(mod_dav)的行为与那些基于Tomcat之类的应用程序服务器的行为不同)。 这是正常的HTTP身份validation的东西; 基本,摘要,SASL,Kerberos等
HTTPS
由于身份validation不会被encryption(除非您正在执行基于IIS的webdav和NTLM),并且文件不会被encryption传输。
本地身份validation
根据驱动WebDAV的内容,请注意丢弃文件的实际操作系统用户。 Dav服务器有时候会冒充实际的用户,有时候这只是一个用户丢弃文件,而是由应用程序来让用户远离他们不应该访问的文件。
这与保护可以修改资源的HTTP基本相同:实现HTTPS并需要身份validation(密码或客户端证书)。