English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Xin giúp về Authentication trong Apache 2.0.58  XML
  [Question]   Xin giúp về Authentication trong Apache 2.0.58 23/08/2006 00:26:53 (+0700) | #1 | 17006
[Avatar]
 kidhackervn
Member
[Minus]    0    [Plus]
Joined: 28/01/2003 02:20:44
Messages: 19
Offline
[Profile] [PM]
Trong file config httpd.conf tui đã loadmodule mod_auth, và khai báo Directive AccessFileName .htaccess, dùng trình htpasswd để tạo file passwd, trong thư mục cần authenticate, tạo file .htaccess với nội dung:
Code:
AuthType Basic
AuthName "Control Panel"
AuthUserFile "C:/path/htpasswd"
Require valid-user

Vậy mà test thì nó chẳng hiện ra gì cả? Có ai biết config cái này làm ơn giúp giùm với (đừng bảo tui đọc document nhe, tui đã nghiền documentation của apache cái mục này kỹ lắm òi).
[Up] [Print Copy]
  [Question]   Xin giúp về Authentication trong Apache 2.0.58 23/08/2006 03:03:59 (+0700) | #2 | 17060
[Avatar]
 SuperChicken
Elite Member
[Minus]    0    [Plus]
Joined: 11/07/2006 18:31:27
Messages: 635
Location: bottom of hell
Offline
[Profile] [PM]
Never mind, hì, do directive accessfilename đã bị disable bởi directive allowoverride trong httpd.conf (theo cách mình hiểu là như vậy, ko biết giải thích thế nào cho đúng, ai bị lỗi này thì để ý nhé), mod làm ơn del giùm cho đỡ tốn chỗ smilie .
[Up] [Print Copy]
  [Question]   Re: Xin giúp về Authentication trong Apache 2.0.58 23/08/2006 08:15:05 (+0700) | #3 | 17155
subnetwork
Member
[Minus]    0    [Plus]
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
[Profile] [PM] [WWW] [Yahoo!]
Trong Apache có 2 loại Authentication
Code:
tui đã loadmodule mod_auth


Vậy cái này chính là Digest Authentication
Đối với chứng thực kiểu này , chú ý đến MD5 .

Sai ở đoạn này
AuthType Basic
AuthName "Control Panel"
AuthUserFile "C:/path/htpasswd"
Require valid-user 


Thân
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com
[Up] [Print Copy]
  [Question]   Re: Xin giúp về Authentication trong Apache 2.0.58 24/08/2006 10:33:27 (+0700) | #4 | 17535
[Avatar]
 kidhackervn
Member
[Minus]    0    [Plus]
Joined: 28/01/2003 02:20:44
Messages: 19
Offline
[Profile] [PM]
Có phải ko đó, hình như bồ nhầm thì phải, Digest Authentication là module khác mà, module tui đang nói là Basic Authentication mà, với lại tui đã nói là tui chỉnh lại đuợc rồi, do cái Directive Allowoverride None trong httpd.conf.
[Up] [Print Copy]
  [Question]   Re: Xin giúp về Authentication trong Apache 2.0.58 24/08/2006 11:08:41 (+0700) | #5 | 17541
subnetwork
Member
[Minus]    0    [Plus]
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
[Profile] [PM] [WWW] [Yahoo!]

kidhackervn wrote:
Có phải ko đó, hình như bồ nhầm thì phải, Digest Authentication là module khác mà, module tui đang nói là Basic Authentication mà, với lại tui đã nói là tui chỉnh lại đuợc rồi, do cái Directive Allowoverride None trong httpd.conf. 


Lộn tiệm nữa rồi . :lolsmilie Tớ xin đính chính lại câu trả lời của tớ .

Digest Authentication được cung cấp bởi module mod_auth_digest

Đối với phương thức này mật khẩu không được gởi ở dạng text mà nó được mã hoá bằng thuật toán MD5

Còn chứng thực của bạn là Basic Authentication .
AuthType Basic
AuthName "Control Panel"
AuthUserFile "C:/path/htpasswd"
Require valid-user

Dòng AuthType : Loại Authentication sử dụng
Dòng AuthName : Đặt tên của chứng thực
AuthUserFile : Vị trí lưu trữ của tập tin htpasswd
Require : Yêu cầu nào hợp lệ thì mới cho phép truy cập đến tài nguyên nào đó

Sorry :?)
Thân
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com
[Up] [Print Copy]
  [Question]   Re: Xin giúp về Authentication trong Apache 2.0.58 24/08/2006 23:18:30 (+0700) | #6 | 17649
[Avatar]
 kidhackervn
Member
[Minus]    0    [Plus]
Joined: 28/01/2003 02:20:44
Messages: 19
Offline
[Profile] [PM]
Hình như bồ vẫn còn nhầm, Basic Authentication vẫn có thể encode passwd theo MD5 mà (dùng trình htpasswd). Riêng cái Digest Authentication thì tui chưa xài thử nên cũng ko biết nó hơn Basic chỗ nào?
[Up] [Print Copy]
  [Question]   Re: Xin giúp về Authentication trong Apache 2.0.58 24/08/2006 23:58:07 (+0700) | #7 | 17666
subnetwork
Member
[Minus]    0    [Plus]
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
[Profile] [PM] [WWW] [Yahoo!]

kidhackervn wrote:
Hình như bồ vẫn còn nhầm, Basic Authentication vẫn có thể encode passwd theo MD5 mà (dùng trình htpasswd). Riêng cái Digest Authentication thì tui chưa xài thử nên cũng ko biết nó hơn Basic chỗ nào? 


Cả hai chứng thực này hoàn toàn giống nhau nhưng có điểm khác nhau .
Khi sử dụng chứng thực kiểu Basic Authentication thì apache sẽ gởi request đến client yêu cầu nhập username và password .

Nếu quá trình thành công thì nó đi tiếp, cho phép truy cập đến một tài nguyên nào đó, nếu sai thì nó trả về cho client thông báo 401 . Nhận biết khá rõ, hôm nay thử truy cập vào tài nguyên được bảo vệ bằng chứng thực này và ngày hôm kia kìa gì đó truy cập đến nó xem có sự khác biệt gì ? Cái này cũng tuỳ vào trình duyệt, có cái lưu trữ có cái không vì đơn giản .... server nó cấp lại cho client một cái chứng thực để bảo vệ nguồn tài nguyên cần được bảo vệ .

Đây là chứng thực kiểu Digest Authentication
Authtype Digest
AuthName "Private"
AuthDigestFile /usr/local/webserver/apache/passwd digest
Require group vohienyeudau 


Đối với chứng thực dạng này thì tìm hiểu htdigest, đó là nơi để biết nó khác biệt nhau .

Thân
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com
[Up] [Print Copy]
  [Question]   Xin giúp về Authentication trong Apache 2.0.58 25/08/2006 00:21:15 (+0700) | #8 | 17672
[Avatar]
 kidhackervn
Member
[Minus]    0    [Plus]
Joined: 28/01/2003 02:20:44
Messages: 19
Offline
[Profile] [PM]

Golden Autumn wrote:
Cả hai chứng thực này hoàn toàn giống nhau nhưng có điểm khác nhau .
Khi sử dụng chứng thực kiểu Basic Authentication thì apache sẽ gởi request đến client yêu cầu nhập username và password .

Nếu quá trình thành công thì nó đi tiếp, cho phép truy cập đến một tài nguyên nào đó, nếu sai thì nó trả về cho client thông báo 401 . Nhận biết khá rõ, hôm nay thử truy cập vào tài nguyên được bảo vệ bằng chứng thực này và ngày hôm kia kìa gì đó truy cập đến nó xem có sự khác biệt gì ? Cái này cũng tuỳ vào trình duyệt, có cái lưu trữ có cái không vì đơn giản .... server nó cấp lại cho client một cái chứng thực để bảo vệ nguồn tài nguyên cần được bảo vệ .  

Hix, ko hiểu ý bồ nói gì nữa. Hôm nay truy cập rồi ngày kia kìa truy cập thì khác nhau làm sao???
Còn cái vụ lưu lại thì tui thấy trên IE lẫn FF đều chỉ lưu trên session đó thôi, tức là khi bạn chỉ đóng 1 tab mà ko đóng hẳn chương trình thì khi bạn mở lại page đó nó ko đòi pass nữa. Còn khi đã restart browser thì hình như ko có browser nào lưu lại cả.
[Up] [Print Copy]
  [Question]   Xin giúp về Authentication trong Apache 2.0.58 25/08/2006 01:41:45 (+0700) | #9 | 17694
subnetwork
Member
[Minus]    0    [Plus]
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
[Profile] [PM] [WWW] [Yahoo!]

kidhackervn wrote:

Hix, ko hiểu ý bồ nói gì nữa. Hôm nay truy cập rồi ngày kia kìa truy cập thì khác nhau làm sao???
Còn cái vụ lưu lại thì tui thấy trên IE lẫn FF đều chỉ lưu trên session đó thôi, tức là khi bạn chỉ đóng 1 tab mà ko đóng hẳn chương trình thì khi bạn mở lại page đó nó ko đòi pass nữa. Còn khi đã restart browser thì hình như ko có browser nào lưu lại cả. 


Bạn không hiểu là đúng rồi vì tớ học mò (kiến thức thu được hầu hết là ebook) :lolsmilie

Khi bạn truy cập đến tài nguyên được bảo vệ bằng chứng thực, nó cho biết bạn truy cập đến tài nguyên được bảo vệ này có hợp lệ hay không . Nếu Ok thì bạn truy cập đến tài nguyên được bảo vệ này bình thường và ngược lại nó gởi cho bạn 1 thông báo lỗi .
Khi nói đến chứng thực phải nói đến thông tin chứng thực, vậy thông tin chứng thực đó trong đó nó chứa những gì ? Thì nó là username + password đó mà smilie Username và password mà bạn "giao tiếp" với webserver từ trình duyệt của bạn chĩ "ép phê" với lần đầu tiên mà bạn đăng nhập, ở lần đăng nhập kế tếp thì nó sẽ không thực thi .
Nó chĩ thực thi với giao dịch hiện hành của trình duyệt (còn việc lần thứ hai bạn truy cập vào tài nguyên cần được bảo vệ mà không thấy yêu cầu nhập username và password của bạn thì đó là do một vài trình duyệt cho phép bạn lưu trữ những thông tin này)
Việc gởi trả lại các thông tin này từ server về client là do realm đảm nhiệm, browser của bạn sẽ "nói" như thế này với realm này như sau :
Username và password của tôi hợp lệ rồi cho tôi truy cập đến vùng cấm nghen . Từ đó browser của bạn nó sẽ so sánh với những gì mà nó đang lưu trữ với realm này, nếu nó có cùng realm này thì nó cho bạn không cần nhập username hay password gì cả .

Bạn thử làm cách này để kiểm tra nó và nhận thấy sự khác biệt của nó
- Xoá bỏ cookie, cache và truy cập vào tài nguyên đã được chứng thực trước đó (vậy là lần thứ hai bạn truy cập đến tài nguyên này).
- Thử truy cập vào tài nguyên khác đã được bảo vệ bằng chứng thực có giống với chứng thực ở tài nguyên trên thì bạn sẽ thấy nó khác biệt ở chổ nào .

Thân
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|