E 'possibile elencare una cartella dal mio server web se ho un index.html vuoto nella cartella principale?

Naviga le tue risposte
2

Ho un piccolo server web di mangusta installato sulla mia macchina. Ho un index.html vuoto nella directory root.

Voglio poter condividere link con persone che conosco, creando una cartella simile a questa: 0gzzfiz4pf80mn8dw1k3

Quindi il mio amico andrebbe su www.mysite.com/0gzzfiz4pf80mn8dw1k3 e sarà in grado di scaricare i file che ho inserito in questa cartella.

È un modo sicuro per condividere file?

Capisco che qualcuno possa ascoltare ma quello che non voglio è che le persone navigino su www.mysite.com e siano in grado di ottenere un elenco di quelle cartelle speciali che ho creato.

EDIT:

Ok, quindi è necessario disattivare l'elenco delle directory e vorrei creare un file index.html in quella cartella che reindirizza al file effettivo che voglio condividere con loro. Sono a conoscenza del problema MITM, non mi preoccupa molto qui.

Se disattivo l'elenco delle directory, c'è altro modo oltre alla forza bruta per trovare la mia cartella 0gzzfiz4pf80mn8dw1k3?

    
posta Benoit Bourgault 31.01.2013 - 17:45
fonte

3 risposte

3

È possibile disabilitare l'elenco delle directory in Mongoose usando quanto segue: 

./mongoose -d no      [ Runtime ]
d    no               [ Config File ]

Ma perché non proteggere con password la directory con un file .htaccess ? 

./mongoose -A ./.htpasswd localhost admin pass

Saresti comunque suscettibile a un attacco MITM, quindi usalo con SSL. Anche se questo potrebbe essere un server web semplice e leggero, qualcosa come un Apache in piena regola sarà molto più duro contro gli exploit.

    
risposta data 31.01.2013 - 18:06
fonte
3

Il primo paragrafo della risposta di AJHenderson è leggermente fuorviante. Sembra suggerire che spetta al browser rifiutare di visualizzare il file predefinito e ottenere invece un elenco di directory.

If it is a default file, then it will end up displaying by default in most browsers

Questo non è corretto. Non c'è un browser in grado di forzare il server Web ad elencare il contenuto della directory se la directory è configurata per server una pagina predefinita

Devi non configurare esplicitamente il tuo server web per impedire che vengano elencate le directory. Basta configurarlo per cercare i file predefiniti (di solito index.html , index.php , default.html ..) e servirli.

In HTTP non è richiesta Show me teh directoryz plz . Se il server Web è configurato per offrire index.html di file per impostazione predefinita, non è possibile *, AFAIK, elencare i file nella directory in cui esiste index.html .

Oltre a questo, entrambe le risposte offrono ottimi consigli sulla sicurezza.

*** Esclusi bug nel server Web o nei crawler brute-force / dictionary, come IntelliTamper .

    
risposta data 01.02.2013 - 18:12
fonte
1

Giusto per chiarire la risposta di aus. No, il semplice inserimento di un file di indice non è sufficiente per impedire la navigazione nella directory. Se si tratta di un file predefinito, verrà visualizzato per impostazione predefinita nella maggior parte dei browser, ma è necessario disabilitare effettivamente la navigazione nella directory come menzionato in precedenza. Inoltre, la disabilitazione della navigazione nella directory impedirebbe ai tuoi amici di accedere alla cartella, a meno che tu non attivi la navigazione di directory per quella cartella in particolare.

Accesso protetto da password o impostazione FTP è il modo ideale per gestire questa situazione. Dovrai anche usare SSL (anche se solo un certificato autofirmato) per proteggere la connessione. Se fai l'auto-firma, ti verrà dato un avvertimento quando i tuoi amici cercheranno di accedervi, ma potranno verificare che l'impronta digitale è la chiave del tuo server e quindi fidarti manualmente del certificato per evitare avvisi in futuro.

    
risposta data 31.01.2013 - 18:43
fonte

Leggi altre domande sui tag

Come funziona il monitoraggio della chat, se utilizziamo un servizio crittografato come gtalk I messaggi privati devono essere crittografati?