SSH против WebDAV — каковы уязвимости безопасности каждого из них?

У меня есть личный репозиторий Git, который я не хочу публиковать по разным причинам (главным образом из-за гордости, так как это в основном полстраницы набросанных строк), поэтому я размещаю его на личном сервере.

Меня интересуют чьи-либо мысли о безопасности между следующими реализациями (хост - CentOS 5.6, если это имеет значение):

  1. SSH с использованием аутентификации на основе ключей с ключами, использующими 20-символьные парольные фразы;
  2. WebDAV с использованием Apache 2.2 и паролей с использованием 20-символьных паролей.

На SO ведется ряд дискуссий о том, что лучше, удобнее и т. д., но они кажутся в основном функциональными. Что было бы более/менее просто взломать или подключить? Как я уже сказал, информация в репозитории не является конфиденциальной, это просто набор плохого кода для хобби. Я просто пытаюсь найти что-то, что могло бы обосновать мое решение, кроме кока-колы и пепси: «Что для вас вкуснее?» субъективный спор.

Цените любые комментарии.


ssh linux security webdav
person calenti    schedule 11.05.2011    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Конкретный вопрос, но общий ответ.

  • WebDAV будет очень небезопасным без SSL.
  • HTTPS = HTTP + SSL
  • SSH = также SSL

Таким образом, HTTPS и SSH в этом отношении практически равны, но лучше использовать файлы с закрытыми ключами. Это может быть проще настроить с помощью SSH, но сложнее для HTTPS.

Таким образом, в вашем конкретном вопросе (при условии, что вы также используете HTTPS, а не HTTP) SSH будет более безопасным, потому что файлы закрытых ключей практически невозможно взломать. Аутентификация на основе пароля имеет обычные проблемы с безопасностью (словарь, перебор, радужная таблица и т. д.).

По сути, это сравнение 20-байтового пароля с открытым ключом 1024/2048/4096 бит.

person Evert    schedule 11.05.2011
comment
Спасибо - это ответ на мой вопрос. Вы правы - webDAV будет с https, а не с http. Я не знаю, как настроить файлы закрытых ключей с помощью HTTPS. Похоже, что использование SSH является лучшим подходом, если я использую аутентификацию на основе ключа, а не пароля. Спасибо за ответ. - person calenti; 12.05.2011
comment
Привет. Как HTTPS, так и SSH используют криптографию с открытым ключом, но их назначение и использование отличаются. Было бы неправильно говорить, что SSH использует TLS/SSL. Здесь хорошо объяснено: между SSL и SSH - person Kent Pawar; 25.11.2013