4 203
modifications
« Installation de configuration du serveur web Apache 2.4 sous Debian Bullseye » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation de configuration du serveur web Apache 2.4 sous Debian Bullseye (voir la source)
Version du 11 janvier 2017 à 20:14
, 11 janvier 2017→Authentification Digest
| Ligne 209 : | Ligne 209 : | ||
==Authentification Digest== | ==Authentification Digest== | ||
* le mot-de-passe est stocké en clair sur le serveur ce qui le rend plus vulnérable à une fuite de données côté serveur | * le mot-de-passe est stocké en clair sur le serveur ce qui le rend plus vulnérable à une fuite de données côté serveur (<small>en clair ou sous forme condensée, sans salage possible, donc un pirate obtenant l'accès au fichier contenant la base de donnée digest aura un accès complet aux ressources du serveur et sans étape de décryptage)</small> | ||
* le client envoi le mot-de-passe hashé avec un nonce et un realm, ce qui assure que le mot-de-passe ne circule jamais en clair sur le réseau et ce même sans HTTPS | * le client envoi le mot-de-passe hashé avec un nonce et un realm, ce qui assure que le mot-de-passe ne circule jamais en clair sur le réseau et ce même sans HTTPS | ||
* Préférez la création d'un fichier nommé .htpasswd étant donné que ces fichiers sont interdits de lecture par la configuration par défaut de apache (/etc/apache2/apache2.conf) | * Préférez la création d'un fichier nommé .htpasswd étant donné que ces fichiers sont interdits de lecture par la configuration par défaut de apache (/etc/apache2/apache2.conf) | ||