保護サイトディレクトリ。htaccessファイルを安全ですか。

StackOverflow https://stackoverflow.com/questions/869072

質問

破壊も修復もおもしろくな保護webディレクトリかります。htaccessファイルをしました。htpasswdファイル以外の公共apache webrootウェブルートは保護の保護のためにディレクトリ内のコンテンツ).

が誰かの説明を受けたものではない書類のことですね。

役に立ちましたか?

解決

あなたは、標準のHTTPプロトコルを使用する場合は、

認証は、ネット上で保護されていない渡されます。誰かがパスワードを盗聴可能性があり、これは、安全とみなされていません。

あなたはそれが非常に安全であるhttpsにアクセスも制限した場合。 SSLになります(ブラウザのアドレス行に//ポート433、HTTPS)およびポート80のユーザー名とパスワードには、このディレクトリの標準のHTTPトラフィックを無効にするこれは、SSL暗号化されたHTTPトラフィック用のApacheモジュールをインストールし、有効にするために意味するでしょう暗号化されました。 (長く複雑なことに、推測やブルートフォースすることはできませんが)適切なパスワードを選択してくださいます。

Apacheの設定は難しいことなので、シンプルかつ可能なミスに対するテストそれを維持するケアの多くを取ることができます。

あなたがそれについての知識とコントロールを持っている場合は、メインのApacheの設定ファイルに.htaccessファイルからアクセス制限の設定を移動することをお勧めすることができます。あなたは.htaccesファイルでそれを維持するためにも、より簡単である可能性があります。そして、「簡単」より安全なことができます。それをそれは維持し、あなたのために覚えておくことは、簡単で、安全かつ安心な方法を行います。

これは、セキュリティを強化し、事故から保護するための簡単な設定があります:

あなたはPHPとメールが保護されたディレクトリを使用して、簡単なアラームスクリプトを書くことができているマシン上で設定されている場合。そのhtaccessファイル保護が動作しないあなたに言って、あなたに電子メールを送信し、PHPのメール機能を備えた単一のラインを持つだけのPHPファイル「alarm.php」ます。

ドメインとディレクトリパスが「 http://mybox.example.com/secretdir /alarm.php には、」あなたは別のマシン上のブラウザでこれを入力することができますし、限りhtaccessファイルがされているメールを取得する必要があります 『』開かれました。それが保護されている場合は、ユーザー名とパスワードを入力することができます。また、メールを取得します。

あなたは15分ごと、またはので、このURLを取得しようとする異なるUNIXボックスを使用することができ、この外の自動化された警報を行います。 crontabファイルの行:

* / 15 * * * * user1のwgetの http://mybox.example.com/ secretdir / alarm.phpする

user1がwgetコマンドの実行を許可されているこのマシンのユーザーであり、wgetのは、インストールする必要があります。

あなたはテストとしてhtaccessファイル保護を無効にすることができますし、メールごとに15分を取得する必要があります。

私の経験から、それはあなたが何かを変更し、あなたは、あなたがあなたを警告する電子メールを取得し、このように気づいていないときあなたが考えるディレクトリが保護されていることを共通のセキュリティ上の欠陥は、その保護を失っている。

他のヒント

しかhtaccessやすいハッキングの場合は遮断(f.e.でログインからインターネットカフェがオープンネットワークのwikipediaた。 ってください, ダイジェスト認証 するという問題です。

.htaccessファイルを使用すると、のケースではApache HTTPDが提供するリソースのためのディレクトリ毎の設定変更を行うための方法はかなり標準的な方法ですメインの設定ファイルは、/ rootアクセスを持っていないにアクセスするを持っていません。

あなたがメインの設定へのアクセス権を持っている場合は、それはそれを見落とすするのは簡単ではありません(それは複数のファイルに分割いても)1か所に配置された(認証を含む)すべての設定を、持っている方がはるかに簡単です。私の経験から、私はあなたの.htaccessファイルを忘れる前に、それは時間の問題だ、伝えることができます。

公式ドキュメントは、可能な.htaccessファイルの使用は避けるべきであるいくつかの機会に言及しています。

.htaccessの使用が唯一の選択肢である場合、あなたはすなわち、それらを読んでから、権限のないユーザーを防ぐため、メインHTTPDの設定と同様に、一般的なセキュリティ対策を追従させる、ファイルがサーバから読み込み可能である、あなたが無効になっディレクトリの一覧を持って行い、常に確認してくださいパスワードは暗号化/ハッシュ化された形式などに格納されています。

詳細情報については、アパッチhtaccessチュートリアルに確認してください

の.htaccessファイルは、非常に便利ですが、...これは誰かあなたのコードを利用して、彼がしたいすべてのファイルを読んでからあなたを保護しません。あなたのサイト(一つでも小さなスクリプト)が悪用され、またハッカーは、スクリプトを実行するユーザの権利を獲得するように.htaccessや他のソリューションは、(通常、WWW-データ)、あなたを保護する場合ます。

これは、CGIで特にpainfullであるが、他のスクリプトも同様にハッキングされています。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top