È giusto inserire .htpasswd nella directory protetta se c'è un solo utente?

Naviga le tue risposte
5

Sto configurando una directory su un server Apache protetto con mod_authn_file. I documenti per AuthUserFile dicono di non inserire il file .htpasswd nella directory protetta:

Make sure that the AuthUserFile is stored outside the document tree of the web-server. Do not put it in the directory that it protects. Otherwise, clients may be able to download the AuthUserFile.

Non mi è chiaro esattamente cosa significhi. Solo gli utenti autorizzati possono essere in grado di scaricarlo o c'è il rischio che anche altri possano avere accesso?

La directory che sto proteggendo avrà sempre un solo utente autorizzato. Conosce già il nome utente e la password. C'è qualche ragione per non mantenere il file .htpasswd nella directory protetta proprio accanto a .htaccess?

    
posta Robert 19.11.2015 - 03:41
fonte

1 risposta

2

Per impostazione predefinita, Apache suppone negare l'accesso ai file .htaccess e .htpasswd. Per qualche strana ragione, hai la possibilità di disabilitarla (accidentalmente o in altro modo) nella tua configurazione. Se questa protezione è stata disabilitata in qualche modo (o se, per qualche motivo, non è stata configurata in primo luogo), qualsiasi utente malintenzionato potrebbe sfruttarlo per scaricare il file .htpasswd.

Normalmente il suggerimento è di avere il file al di fuori della tua directory web, impedendo che venga mai reso disponibile a un utente, pur continuando ad autorizzare Apache ad accedervi.

    
risposta data 19.11.2015 - 05:42
fonte

Leggi altre domande sui tag

Come implementare una politica di modifica della password quando la password centralizzata dell'utente si trova in molti punti? Firewall UDP Porta sorgente pacchetto 53 Bypass regole