Disabilita la navigazione nella directory usando il file htaccess di Apache

2

TL; DR

  • Quali sono i rischi e gli svantaggi associati al fatto che Options -Indexes funzioni in file arbitrari .htaccess su un host web Apache condiviso?

Contesto

  • Configurazione del server Web Apache
  • host RHEL Linux

Sfondo

Trevor sta utilizzando un ambiente di hosting condiviso in cui non ha accesso per modificare le impostazioni di httpd.conf di apache. Come soluzione alternativa per questa limitazione, ha tentato di utilizzare Opzioni -Index in un file .htacess locale per impedire la navigazione nella directory, come specificato in questo post semi-correlato: consiglio per l'host condiviso di autorizzazioni per file e cartelle (mi riferisco alla risposta accettata)

Problema

Perquestoparticolarehost,questaimpostazionerestituisceunerrorediconfigurazionediApache.

Siscoprechel'amministratoredisistemaperquestoparticolarehosthadisabilitatoladirettivaOptions,inmodochenonfunzioniall'internodeifile.htaccess,equestaèlafontedeiproblemidiTrevor.

Domande

  • TrevorvorrebbesaperequalirischispecificiavrebberodovutoessereminimizzatinonpermettendoaOptions-Indexesdifunzionareinfilearbitrari.htaccesssulwebhostcondiviso?Ilsysadmineratroppoparanoico,oc'eradavverounvettorediattaccospecificochiusodaquestoapproccio?

  • Qualiattivitàdimitigazionedelrischioalternativesonodisponibili,oltreall'aggiuntadiunindex.htmlinognisottodirectory?

Vedianche

  • E 'possibile elencare la cartella dal mio server web se ho un index.html vuoto nella cartella principale?
posta dreftymac 20.09.2015 - 11:15
fonte

2 risposte

2

Consentire a Indexes non solo di disabilitarli, ma consente anche un bel po 'di altre opzioni che potrebbe aumentare la superficie di attacco.

Inoltre, l'impostazione di AllowOverride su qualsiasi valore tranne None ha una penalizzazione delle prestazioni poiché Apache ora cerca .htaccess file in ogni directory del percorso del file richiesto.

    
risposta data 20.09.2015 - 14:59
fonte
2

Un'altra soluzione comune è quella di eliminare un index.php in ogni cartella, con solo un commento ad esempio: il silenzio è d'oro ... Ogni installazione di WordPress è così.

Come sottolineato da @Pinoniq, questa soluzione presuppone che index.php sia specificato come preferenza del file di indice.

link

    
risposta data 20.09.2015 - 16:18
fonte

Leggi altre domande sui tag