私の知る限り、webserver(apacheまたはnginx)のパスワードで保護されたフォルダのセキュリティは、$ _SESSIONで定義されたアクセスレベルよりも高くなっています。しかし、一般的な方法(少なくともCMSモデルでは)は、Webサーバーによって管理フォルダ全体を保護するのではなく、後者の方法を使用することです。adminディレクトリのパスワードで保護されたフォルダのセキュリティ
CMSの管理にパスワードで保護されたフォルダを使用する場合の賛否両論は何ですか?
私の知る限り、webserver(apacheまたはnginx)のパスワードで保護されたフォルダのセキュリティは、$ _SESSIONで定義されたアクセスレベルよりも高くなっています。しかし、一般的な方法(少なくともCMSモデルでは)は、Webサーバーによって管理フォルダ全体を保護するのではなく、後者の方法を使用することです。adminディレクトリのパスワードで保護されたフォルダのセキュリティ
CMSの管理にパスワードで保護されたフォルダを使用する場合の賛否両論は何ですか?
ProのHTTPアクセス
プロセッション
は、PHPセッションでフォルダを保護できません。それはPHPセッションであり、明らかにPHPファイルのみで動作するからです。
あなたがPHPスクリプトを保護することについて話しているなら、あなた自身が答えています。つまり、セッションはより柔軟で広く選択されています。
セキュリティに関して、私はWebサーバーベースの基本HTTP認証がセッションベースよりも安全だとは思っていません。ダイジェスト1は確かにより安全です
セキュリティ上の問題やハッキング方法に関する私の知識は非常に限られています。アクセス可能なパブリックエリアのファイル(たとえば、アクセスレベルを変更するためのSQLインジェクション)を処理することによって、セッションが偽装される可能性があると考えました。基本的なHTTP認証を攻撃するには、パブリックフォルダ以外のパスワードにアクセスするためにサーバー全体を攻撃する必要があります(もちろんパスワードは暗号化されています...) – Googlebot
dunnoパブリックエリアでのファイルの偽装についてあなたのサイトがSQLインジェクションに対して脆弱な場合、データベースはパブリックページからも侵害されます。 –
私はクリスタルクリアです:1.あなたのデータベースにアクセスして(少なくともメンバーシップタイプを変更するために)誰かがすべての管理機能にアクセスできる場合。パスワードで保護されたシステムでは、システム全体にアクセスしない限り、誰も管理機能にアクセスできません。 2.一般的なCMS(例えばWordPress)では、管理者の指示をパスワードで保護してより高いセキュリティを追加することが推奨されています。この目的のためのプラグインがあります。 3.クッキー(クライアント側)にセッションを保存すると、攻撃者は保存されたセッションを偽造することができます(もちろん簡単な作業ではありません)。 – Googlebot