Va bene conservare i file .zip nella cartella public_html? [duplicare]

3

Il sito Web della mia azienda copia semplicemente la cartella pubblica html e conserva i file zip come backup nella stessa cartella, voglio sapere se questo è sicuro o no? Perché le altre persone non conoscono il nome del file zip. C'è un modo in cui un cattivo può forzare il nome del file zip e scaricarlo?

    
posta lasan 03.12.2016 - 06:55
fonte

1 risposta

2

Dipende da cosa contiene il file. Se ogni file nella directory public_html è un file destinato alla divulgazione pubblica, nel suo contenuto originale, in chiaro, allora sì, con tutti i mezzi. Ma per qualsiasi sito Web che esegue un CMS o simili, ci sono probabilmente file che contengono informazioni che non si vogliono distribuire - come le informazioni di configurazione per un database su un sito Web WordPress o Drupal. Sarebbe sciocco affidarsi solo a un nome di file improbabile per proteggere i tuoi dati.

Alcuni servizi di backup manterranno i file .zip in una directory pubblica, ma utilizzeranno una sorta di protezione all'interno di .htaccess (nega da tutti) per impedire l'accesso a questi. Questo è meglio di niente, ma ancora insufficiente, perché una piccola modifica alla configurazione del server (cambiando la configurazione di AllowOverride) renderebbe il file .htaccess impotente per controllare l'accesso alla directory, e i file .zip sarebbero accessibili.

La mia raccomandazione: tenere i file ZIP fuori dalla webroot pubblica, mantenere le autorizzazioni 600 per questi file e aggiungere un .htaccess con una direttiva "deny from all" nella cartella come failsafe.

    
risposta data 03.12.2016 - 07:59
fonte

Leggi altre domande sui tag