Limita l'accesso a uno script web con .htaccess abbastanza sicuro quando lo script può eseguire comandi arbitrari?

Naviga le tue risposte
4

Ok, quindi non ho molta esperienza HTML, ma di recente ho iniziato a lavorare su un progetto con un gruppo di persone che prevede la regolare manipolazione di file in un server web. Mi piacerebbe lavorare su questo progetto quando sono a lavoro, a volte, ma l'uso della connessione remota è scoraggiato lì.

Pensavo di poter scrivere un programma che potesse imitare un ambiente ssh e permettermi di inserire comandi / vedere il loro output e persino modificare i file. Credo che questo mi avrebbe dato solo l'accesso ai file nella directory www, ma questo va bene.

Proteggerei il programma tramite .htaccess

quali sono i difetti con questo approccio? C'è un modo migliore per fare questo lavoro? dovrei provarlo a tutti?

È vero che .htaccess invia la password tramite testo normale?

se sì, quali sono gli altri lati negativi? Non mi aspetto che nessuno stia annusando qui.

    
posta Luke 25.09.2014 - 05:21
fonte

1 risposta

1

Il meglio che puoi fare è usare una connessione ssh per lavorare su quei file.

Se questa non è un'opzione dovresti cercare di renderla possibile.

Se ssh non è realmente possibile dovresti controllare quanto segue:

  • usa https con un certificato valido (senza che la password venga inviata come testo normale!)
  • il tuo .htaccess utilizza una password complessa (altrimenti potrebbe essere forzata bruta)
  • usa un editor solido (non qualcosa che hai scritto tu stesso)
  • controlla i permessi dei file e assicurati di poter accedere solo ai file di cui hai veramente bisogno

Se uno dei punti di cui sopra non è soddisfatto, dovresti semplicemente non farlo.

    
risposta data 26.09.2014 - 09:26
fonte

Leggi altre domande sui tag

Questo programma non può essere eseguito in modalità DOS Il PT (Penetration Test) consente il rooting di un server?