È giusto inserire .htpasswd nella directory protetta se c'è un solo utente?

5

Sto configurando una directory su un server Apache protetto con mod_authn_file. I documenti per AuthUserFile dicono di non inserire il file .htpasswd nella directory protetta:

Make sure that the AuthUserFile is stored outside the document tree of the web-server. Do not put it in the directory that it protects. Otherwise, clients may be able to download the AuthUserFile.

Non mi è chiaro esattamente cosa significhi. Solo gli utenti autorizzati possono essere in grado di scaricarlo o c'è il rischio che anche altri possano avere accesso?

La directory che sto proteggendo avrà sempre un solo utente autorizzato. Conosce già il nome utente e la password. C'è qualche ragione per non mantenere il file .htpasswd nella directory protetta proprio accanto a .htaccess?

    
posta Robert 19.11.2015 - 03:41
fonte

1 risposta

2

Per impostazione predefinita, Apache suppone negare l'accesso ai file .htaccess e .htpasswd. Per qualche strana ragione, hai la possibilità di disabilitarla (accidentalmente o in altro modo) nella tua configurazione. Se questa protezione è stata disabilitata in qualche modo (o se, per qualche motivo, non è stata configurata in primo luogo), qualsiasi utente malintenzionato potrebbe sfruttarlo per scaricare il file .htpasswd.

Normalmente il suggerimento è di avere il file al di fuori della tua directory web, impedendo che venga mai reso disponibile a un utente, pur continuando ad autorizzare Apache ad accedervi.

    
risposta data 19.11.2015 - 05:42
fonte

Leggi altre domande sui tag