在基本的HTTPS 8月存储机密数据安全吗？

Question

这是一个网站后端。既然只有两个人才能访问它，那么使用基本的http auth有什么缺点吗？该网站位于https之下。

编辑:作为标题点，里面有机密数据。

Answer 1

基业有一些在消化业中修复的问题，但它们大多不适用，因为您使用的是TLS (应该处理重放攻击和加密秘密值)。无论如何，使用消化方法仍然是个好主意，因为它并不是更糟。

这两种身份验证方法仍然相当原始。最明显的缺点是它们不包括任何形式的暴力保护:攻击者可以在web服务器处理它们时尽快尝试潜在的凭据。这就使您有责任在另一个系统(如fail2ban )中实现节流。类似地，没有直接的审计日志，因此您需要确保您的web服务器配置为记录身份验证访问，并创建一个系统，该系统可以筛选和搜索这些日志，以防您需要稍后检查查看。

除此之外，还有一些标准的UX/安全问题，在您的情况下可能并不重要，因为您只有两个用户。其中之一是您是否为每个人都提供了共享密码，还是不同的用户帐户；如果是前者，您必须(安全地)在任何时候(安全地)分发一个新密码，只要您想要撤销某人的访问权限，而对于后者，您必须设计一个系统来自动更新摘要文件并重新加载您的web服务器(或者手动执行此操作)。