¿Es seguro almacenar datos confidenciales en HTTPS AUTH básico? [duplicar]

2

Es un backend del sitio web. Dado que solo podrán acceder dos personas, ¿existe alguna desventaja en el uso de la autenticación http básica? El sitio web está bajo https.

editar: como indica el título, hay datos confidenciales dentro.

    
pregunta izuna 01.02.2017 - 22:38
fuente

1 respuesta

2

autenticación básica tiene algunos problemas que se solucionaron en digest auth , pero en su mayoría no se aplican porque estás usando TLS (que debería manejar los ataques de reproducción y el cifrado de los valores secretos). De todos modos, podría ser una buena idea usar digest auth, porque no es peor .

Ambos métodos de autenticación son todavía bastante primitivos. La debilidad más notable es que no incluyen ningún tipo de protección de fuerza bruta: un atacante puede probar credenciales potenciales tan rápido como su servidor web las procesará. Esto pone la responsabilidad en usted de implementar la regulación en otro sistema, como fail2ban. De manera similar, no hay registros de auditoría directos, por lo que debe asegurarse de que su servidor web esté configurado para registrar accesos de autenticación y crear un sistema que pueda filtrar y buscar estos registros en caso de que necesite consultar más adelante para verlos.

Aparte de eso, existen problemas de seguridad / UX estándar que pueden no ser importantes en su caso, ya que solo tiene dos usuarios. Uno de estos sería si tiene una contraseña compartida para todos o cuentas de usuario diferentes; si es el primero, debe (de manera segura) distribuir una nueva contraseña cada vez que quiera revocar el acceso de alguien, mientras que con el último debe diseñar un sistema que actualice automáticamente el archivo de resumen y recargue su servidor web (o haga esto manualmente) ).

    
respondido por el Xiong Chiamiov 01.02.2017 - 22:54
fuente

Lea otras preguntas en las etiquetas