Usando HTTP autenticado no Apache

rafaelhenrique

Este tutorial requer que já se tenha em mãos um webserver Apache configurado e funcionando. Você já teve momentos em que desejou que algum usuário não autorizado deixasse de fuçar determinada pasta em seu servidor web? Eis aqui a solução para seus problemas!

[ Hits: 39.670 ]

Por: Rafael Henrique da Silva Correia em 30/06/2009 | Blog: http://abraseucodigo.com.br

0 0

Denuncie Favoritos Indicar Impressora

Aspectos e cuidados com a segurança

Voltando a seção "Um pouco de teoria sobre o protocolo HTTP", vimos que quando uma requisição é enviada a um diretório que esteja funcionando autenticação o cliente tem que fazer uma nova requisição enviando seu usuário e senha, que no nosso exemplo é Basic, o que significa que não tem criptografia, portanto quando temos um espião na rede esta senha e usuário podem ser facilmente descodificados (o Base64 não é criptografia, mas sim um formato de codificação de mensagens)... veja o exemplo abaixo:

Suponha que eu estivesse farejando na rede (com um sniffer) e consegui pegar esta mensagem (a mesma do nosso exemplo):

GET /admin HTTP/1.1
Host: 172.16.213.128
Authorization: Basic cm9vdDoxMjM0

Agora suponha que eu use Linux (clarooooo !!! :D) e conheço um pouco sobre o OpenSSL... observem o que eu poderia fazer com a mensagem codificada (cm9vdDoxMjM0):

# echo "cm9vdDoxMjM0" | openssl enc -base64 -d
root:1234

Ou seja, acabei de conseguir o username e a senha válida para um usuário que tem permissão de se logar no diretório admin!

Conclusão: Se você quiser mais segurança, não use o tipo de autenticação Basic, e além do mais configure seu Apache2 para usar HTTPS e não HTTP!

Terminando

Bom gente, é isso ai! Acabou! Dúvidas por favor me enviem um e-mail, um post, um grito, um SMS, ou qualquer outra coisa, porém não fiquem com elas! :D

Espero que tenham gostado. Abraço a todos!

Página anterior

Páginas do artigo

   1. Um pouco de teoria do protocolo HTTP
   2. O arquivo .htaccess
   3. Mão na massa com .htaccess
   4. Mão na massa com arquivo de configuração do Apache
   5. Aspectos e cuidados com a segurança

Outros artigos deste autor

Configurando cliente na rede wireless com criptografia WPA - Debian

Problema resolvido: VMware Server 1.0.7 rodando no Debian Lenny Linux

Compilar kernel em distros baseadas em Debian

Leitura recomendada

Principais formas de anonimato ao navegar na Internet

Configurando logout automático para conta root

Aquisição Estática de Dados em Computação Forense

Segurança em seu Linux (parte 2)

Race Condition

Comentários

[1] Comentário enviado por paulorvojr em 01/07/2009 - 15:16h

Muito bem explicado, parabéns.
Ou seja você refez cada passo enquanto escrevia o artigo. É assim que gostamos de ver artigos com pé e cabeça, e não aqueles que parecem papo de bar.

Abraços

0 0

[2] Comentário enviado por rafaelhenrique em 02/07/2009 - 18:48h

Muito obrigado pelo elogio paulorvojr, prentendo continuar escrevendo artigos que agradem os leitores!!

Abraço

0 0