Usando HTTP autenticado no Apache

rafaelhenrique

Este tutorial requer que já se tenha em mãos um webserver Apache configurado e funcionando. Você já teve momentos em que desejou que algum usuário não autorizado deixasse de fuçar determinada pasta em seu servidor web? Eis aqui a solução para seus problemas!

[ Hits: 38.310 ]

Por: Rafael Henrique da Silva Correia em 30/06/2009 | Blog: http://abraseucodigo.com.br

0 0

Denuncie Favoritos Indicar Impressora

Aspectos e cuidados com a segurança

Voltando a seção "Um pouco de teoria sobre o protocolo HTTP", vimos que quando uma requisição é enviada a um diretório que esteja funcionando autenticação o cliente tem que fazer uma nova requisição enviando seu usuário e senha, que no nosso exemplo é Basic, o que significa que não tem criptografia, portanto quando temos um espião na rede esta senha e usuário podem ser facilmente descodificados (o Base64 não é criptografia, mas sim um formato de codificação de mensagens)... veja o exemplo abaixo:

Suponha que eu estivesse farejando na rede (com um sniffer) e consegui pegar esta mensagem (a mesma do nosso exemplo):

GET /admin HTTP/1.1
Host: 172.16.213.128
Authorization: Basic cm9vdDoxMjM0

Agora suponha que eu use Linux (clarooooo !!! :D) e conheço um pouco sobre o OpenSSL... observem o que eu poderia fazer com a mensagem codificada (cm9vdDoxMjM0):

# echo "cm9vdDoxMjM0" | openssl enc -base64 -d
root:1234

Ou seja, acabei de conseguir o username e a senha válida para um usuário que tem permissão de se logar no diretório admin!

Conclusão: Se você quiser mais segurança, não use o tipo de autenticação Basic, e além do mais configure seu Apache2 para usar HTTPS e não HTTP!

Terminando

Bom gente, é isso ai! Acabou! Dúvidas por favor me enviem um e-mail, um post, um grito, um SMS, ou qualquer outra coisa, porém não fiquem com elas! :D

Espero que tenham gostado. Abraço a todos!

Página anterior

Páginas do artigo

   1. Um pouco de teoria do protocolo HTTP
   2. O arquivo .htaccess
   3. Mão na massa com .htaccess
   4. Mão na massa com arquivo de configuração do Apache
   5. Aspectos e cuidados com a segurança

Outros artigos deste autor

Problema resolvido: VMware Server 1.0.7 rodando no Debian Lenny Linux

Compilar kernel em distros baseadas em Debian

Configurando cliente na rede wireless com criptografia WPA - Debian

Leitura recomendada

Vault: SSH com OneTimePassword

Bom escudo não teme espada: o módulo pam_cracklib

Tratamento de dados fornecidos pelo usuário: projetando sistemas com mais segurança

Criptografia de disco

Knockd (bate, bate, bate na porta do céu)

Comentários

[1] Comentário enviado por paulorvojr em 01/07/2009 - 15:16h

Muito bem explicado, parabéns.
Ou seja você refez cada passo enquanto escrevia o artigo. É assim que gostamos de ver artigos com pé e cabeça, e não aqueles que parecem papo de bar.

Abraços

0 0

[2] Comentário enviado por rafaelhenrique em 02/07/2009 - 18:48h

Muito obrigado pelo elogio paulorvojr, prentendo continuar escrevendo artigos que agradem os leitores!!

Abraço

0 0