¿Proporciona HTTP Digest Auth algún aumento de seguridad en este escenario?

Navega tus respuestas
4

Supongamos que tengo un sitio web que ejecuta un CMS popular como Wordpress solo a través de SSL a través de HTTP Strict Transport Security. Antes, cualquiera podía acceder a la página de inicio de sesión del administrador de back-end simplemente agregando / wp-admin a la URL, pero utilizando una combinación de mod_rewrite y un complemento, ahora está ofuscado y detiene los ataques de fuerza bruta.

Ahora, ¿qué pasa si se agregó HTTP Digest Authentication a la imagen? Un atacante que de alguna manera encuentre la página de inicio de sesión se enfrentará a otro obstáculo que deberán superar. ¿Esto proporciona alguna mejora en la seguridad o es simplemente inútil?

    
pregunta Python Novice 07.05.2014 - 21:33
fuente

2 respuestas

2

La seguridad se incrementa mediante el uso de múltiples capas y técnicas. Usted podría reducir la velocidad del atacante, pero como se señaló en los comentarios a su pregunta, todavía hay muchas formas de atacar un sitio de WordPress: no hay un alto grado de separación entre componentes, bases de datos, etc. en una instalación de vainilla. Asegúrese de que la autenticación de resumen también sea cifrado TLS / HTTPS.

Su objetivo principal es evitar el acceso no autorizado a una parte determinada del sitio. En lugar de poner un bloque, puede en su lugar incluir en la lista blanca las direcciones IP que permite acceder al sitio y sus subdirectorios. Esto efectivamente hace que las partes de administrador sean inaccesibles, a menudo hago algo como esto en "carpetas de administración" en mi .htaccess 

ErrorDocument 403 http://www.your-ip-is-not-allowed-to-access-this-section.com
Order deny,allow
Deny from all
Allow from XX.XX.XX.XX
    
respondido por el Eric G 08.05.2014 - 02:45
fuente
2

Sí, esto agrega algo de defensa en profundidad, asumiendo que la autenticación de resumen (o incluso la autenticación básica) la realiza el servidor web. Esto requeriría que las solicitudes se autentiquen incluso antes de que lleguen a tu aplicación, lo que significa que un atacante no podría explotar ninguna vulnerabilidad que pudiera existir en el inicio de sesión del administrador.

Dicho esto, ¿es suficiente el margen de seguridad agregado para justificar los inconvenientes para los usuarios legítimos? Depende de tu modelo de amenaza & comodidad en la seguridad de su aplicación.

    
respondido por el David 08.05.2014 - 02:36
fuente

Lea otras preguntas en las etiquetas

Software criptográfico: sobrescribir el búfer sensible ¿Generando certificados X.509 deterministas?