Il .htaccess nella nostra applicazione ha 777 permessi perché un'applicazione sorella deve scriverci sopra. Potresti confermare che htaccess con 777 permessi è dannoso per la sicurezza e in tal caso quale sarebbe un'alternativa più sicura.
Stavo pensando se l'applicazione sorella (che si trova sullo stesso server) cambia le autorizzazioni prima di modificarla e poi le cambia di nuovo?
Sì, XX7 è molto dannoso per la sicurezza, dà accesso in lettura, scrittura ed esecuzione a tutti gli utenti e dovrebbe essere evitato a meno che non sia assolutamente necessario. Un utente malintenzionato potrebbe utilizzare il file .htaccess per rendere visibile un file dannoso o sensibile all'interfaccia web. Quindi, utilizzando l'utente dell'interfaccia web (che potrebbe disporre di privilegi elevati), l'attore malintenzionato potrebbe eseguire azioni in tale contesto.
Se riesci a ottenere l'applicazione sorella e il file .htaccess per avere lo stesso proprietario / runner, 700 dovrebbe funzionare, altrimenti prova a inserirli nello stesso gruppo e ad avere 770.
Ovviamente più utenti hanno accesso in scrittura a un file meno è sicuro.
Se è richiesto un certo livello di accesso (> 0) per .htaccess, considera:
Per il file htaccess sono necessari solo i diritti di lettura (400 se l'utente è proprietario) per l'utente, proprietario del processo, che accede a questo file (apache, http, ecc.). Qualcosa in più aprirà un buco di sicurezza, permettendo la scrittura (non richiesta nemmeno dall'utente), addicting delle regole di riscrittura (o rimuoverne alcune) dall'utente di questo server
Leggi altre domande sui tag permissions apache