Potrebbe essere necessario accedere al server in questione o un file .htaccess potrebbe perdere informazioni in qualche modo?
Would access need to be gained to the server in question?
Per leggere il file .htaccess , sì, supponendo che il server sia configurato correttamente, tutto il resto in esecuzione sul server è sicuro. La maggior parte delle installazioni di Apache predefinite hanno una regola che i file che iniziano con .ht non verranno pubblicati staticamente. Potrebbe ancora essere servito da un'applicazione buggy sul server, come uno script PHP che passa l'input dell'utente direttamente in file_get_contents.
Can an .htaccess file leak information in some way?
Sì, può perdere qualsiasi cosa ci sia dentro. È possibile trovare informazioni di base come il percorso della tua web root. Forse un reindirizzamento aperto potrebbe essere scoperto. Alcune applicazioni hanno un .htaccess file set di variabili d'ambiente contenenti le credenziali del database. In realtà però, se qualcuno è in grado di accedere al tuo file .htaccess , probabilmente hai problemi più grandi.
Questa è una configurazione specifica. Per impostazione predefinita, Apache è configurato per impedire che i file che iniziano ".ht" vengano serviti attraverso il server web. Ciò non proteggerebbe alcun file che viene offerto, ad esempio, da un altro server Web o trovato tramite l'accesso FTP. Altri software per server web non utilizzano sempre i file .htaccess, quindi potrebbero esporne i contenuti, ma in tal caso, i contenuti non saranno in uso.
Se i file .htaccess sono esposti, questo può rivelare dettagli su percorsi di registrazione, file di password, variabili ambientali e praticamente qualsiasi altra cosa che potrebbe essere in un file di configurazione Apache esteso al sistema.
Non è del tutto chiaro cosa intendi qui.
Un file .htaccess è in sostanza, solo un file di configurazione sul server. Supponendo che il server sia ragionevolmente ben configurato e indurito, quindi nessun utente non autorizzato può accedere al file stesso, non dovrebbe perdere nessuna informazione, in quanto verrà utilizzato solo dal server stesso e internamente e invisibilmente dall'esterno.
Detto questo, potrebbero esserci dei caveat: se ad esempio si desidera utilizzare il file .htaccess per limitare l'accesso a una directory impostando una password, sarà più aperto a un attacco di forza bruta rispetto ad altre opzioni di accesso che contengono più logica, ad es per consentire solo un numero limitato di tentativi prima di visualizzare un CAPTCHA, o bloccare l'account, ecc.
Leggi altre domande sui tag web-application