Quanto è sicuro usare un index.html / index.php vuoto? [duplicare]

Naviga le tue risposte
3

Quando inserisci un index.html vuoto in una determinata directory su un server web, i browser web non visualizzeranno un elenco di file per quella directory. Ma è abbastanza sicuro per altri scopi oltre a prevenire l'elenco dei file? Esistono altri modi semplici per le persone indesiderate per visualizzare l'elenco dei file o accedere ai file in quella directory?

Manteniamo l'ambito all'interno di "casual presunti cracker" e siti web personali.

Modifica: Questa domanda è simile, ma credo che riguardi l'accesso alle sottocartelle: È possibile elencare una cartella dal mio server web se ho un index.html vuoto nella cartella principale?

    
posta Juha Untinen 08.06.2013 - 15:13
fonte

2 risposte

5

Non c'è nulla di intrinsecamente insicuro riguardo al metodo che descrivi. Tuttavia, questo non è il modo corretto per impedire la navigazione nella directory. È facile dimenticare di aggiungere un file index.html o index.php alle directory, specialmente se stai gestendo decine di directory.

Dovresti invece configurare il tuo server web in modo appropriato per disattivare l'indicizzazione delle directory.

Questo può essere fatto rimuovendo la direttiva Indexes dalla riga Options in httpd.conf . Se devi elencare il contenuto della directory per le directory speciali, puoi sovrascriverlo in singole directory usando il file .htaccess .

    
risposta data 08.06.2013 - 15:19
fonte
2

Il file indice vuoto è davvero sufficiente. Ma il modo corretto per farlo sarebbe quello di disabilitare l'indicizzazione delle directory (nel web server Apache lo fai con non aggiungendo Indexes alle opzioni vhost).

Questo perché se lo fai su una base per directory, devi dimenticarti di farlo per le tutte directory che devi "proteggere". Inoltre, potresti subire un danno se il nome della pagina indice predefinito cambia (ad esempio da index.html a index.php senza .html fallback), in modo che la directory risulti non più avere un indice predefinito.

    
risposta data 08.06.2013 - 15:18
fonte

Leggi altre domande sui tag

Accedi con un hash. È abbastanza sicuro? Quali sono i requisiti per sniffare i pacchetti UDP in una rete Ad-Hoc wireless?