Какие проблемы безопасности следует учитывать при рассмотрении вопроса об использовании WebDAV? Как его защитить? Что еще я должен знать об этом?
WebDav сам по себе не имеет никакой защиты. Это позволит любому прикоснуться к чему угодно. В документации по стандартам сказано, что это следует обрабатывать на уровне веб-сервера (или приложения, если оно предоставляет службу WebDAV).
Аутентификация
WebDAV не имеет собственной службы аутентификации, поэтому нужно поставить ее перед ней. Разные веб-серверы обрабатывают это по-разному, в зависимости от того, какой модуль dav вы используете. Специфичные для сервера модули (mod_dav) будут вести себя иначе, чем те, которые основаны на серверах приложений, таких как Tomcat). Это обычная HTTP-аутентификация; базовый, дайджест, SASL, Kerberos и т. д.
HTTPS
Поскольку без него аутентификация не будет зашифрована (если вы не используете WebDAV на основе IIS и NTLM), и файлы не будут передаваться в зашифрованном виде.
Локальная аутентификация
В зависимости от того, что движет WebDAV, обратите внимание на фактического пользователя ОС, который удаляет файлы. Иногда сервер Dav олицетворяет реального пользователя, в других случаях это все, что один пользователь сбрасывает файлы, и приложение должно держать пользователей подальше от файлов, к которым у них не должно быть доступа.
Это в основном то же самое, что и защита HTTP, где ресурсы могут быть изменены: реализовать HTTPS и потребовать аутентификацию (пароль или сертификаты клиента).