Các Webserver công khai thường hỗ trợ một loạt các kỹ thuật nhận dạng và xác thực người dùng với các đặc quyền khác nhau cho các thông tin truy cập. Một số kỹ thuật này dựa trên các hàm mật mã có thể cung cấp một kênh mã hóa giữa client trình duyệt và webserver.
Không có xác thực người dùng, các tổ chức sẽ không thể hạn chế truy cập đến các thông tin rõ ràng cho các người dùng đã được phân quyền. Tất cả các thông tin cư trú trên Webserver công khai sẽ có thể truy cập bởi bất kỳ ai có quyền truy cập vào server đó. Ngoài ra, không có một số quy trình xác thực server, người dùng sẽ không thể xác định liệu máy chủ đó là webserver “đích thực” hay là một phiên bản giả mạo được điều hành bởi đối tượng độc hại.
Mã hóa có thể được sử dụng để bảo vệ thông tin đi qua kết nối giữa client trình duyệt web và webserver công khai. Không có mã hóa, bất kì ai có quyền truy cập vào giao thông mạng đều có thể định rõ (và có thể thay đổi) nội dung thông tin nhạy cảm, ngay cả khi người dùng truy cập vào các thông tin đã được xác thực một cách cẩn thận. Điều này có thể vi phạm tính bảo mật và tính toàn vẹn của thông tin quan trọng.
2.2.3.1. Xác định các yêu cầu xác thực và mã hóa
Các cơ quan tổ chức nên định kỳ kiểm tra tất cả các thông tin có thể truy cập vào Webserver công khai và xác định các yêu cầu an ninh cần thiết. Trong khi làm vậy, cơ quan nên định rõ các thông tin mà chia sẻ các yêu cầu anh ninh và bảo vệ tương đương. Đối với các thông tin nhạy cảm, cơ quan nên xác định người dùng và nhóm người dùng có quyền truy cập tới mỗi tập tài nguyên 2.2.3.2. Xác thực dựa trên địa chỉ
Kỹ thuật xác thực đơn giản nhất được hỗ trợ bởi hầu hết các Webserver là xác thực dựa trên địa chỉ. Kiểm soát truy cập dựa trên địa chỉ IP và/hoặc tên máy chủ (hostname) của thông tin yêu cầu. Mặc dù dễ dàng triển khai cho một nhóm nhỏ người dùng, xác thực địa chỉ có thể khó sử dụng cho các webserver mà có lượng người dùng tiềm năng lớn (tức là, hầu hết webserver công khai). Nó dễ nhiễm một vài loại tấn công, bao gồm giả mạo IP và đầu độc DNS. 2.2.3.3. Xác thực cơ bản
Kỹ thuật xác thực cơ bản sử dụng cấu trúc thư mục của nội dung webserver. Tất cả các tập tin trong cùng thư mục được cấu hình với cùng các đặc quyền truy cập. Một người dùng có yêu cầu sẽ được cung cấp một ID (nhận dạng) và password đã được chấp nhận để truy cập vào những tập tin trong một thư mục đã cho. Kiểm soát truy cập hạn chế nhiều hơn có thể được thực thi ở mức một tập tin đơn trong một thư mục nếu phần mềm webserver cung cấp khả năng này.
Từ góc độ an ninh, nhược điểm chính của kỹ thuật này là tất cả thông tin password được truyền đi dưới dạng encode (lập mã) chứ không phải dạng encrypt (mã hóa). Bất kì ai biết nguyên tắc lập mã đã được tiêu chuẩn hóa này đều có thể giải mã (decode) password sau khi sao chụp nó bằng một chương trình nghe lén mạng. Hơn nữa, bất cứ nội dung web nào đều được truyền đi như là bản rõ, do đó nội dung này cũng bị sao chụp, xâm phạm tính bảo mật. Những
hạn chế này có thể được khắc phục bằng cách sử dụng xác thực cơ bản kết hợp với SSL/TLS.