Ho creato un e-shop con e-book e sono memorizzati in una cartella specifica che è protetta da un file .htaccess:
Order deny,allow
deny from all
allow from 127.0.0.1
L'IP è l'IP della pagina Web, quindi è inaccessibile a tutti tranne che agli script. Stavo pensando di aggiungere .htpasswd, ma sembra eccessivo.
È sufficiente per proteggere questa cartella?
È possibile falsificare l'IP in modo che prima o poi qualcuno possa scoprire la cartella e come è protetta?
Spoofing di un IP non porterà alla possibilità di scaricare i file, in quanto la risposta per questa richiesta sarà inviata all'ip spoofato, che in questo caso dovrebbe essere l'ip del server.
Tuttavia, se un utente malintenzionato può caricare la propria pagina php tramite slqi o qualcos'altro, può inviare richieste provenienti dal server stesso (quindi 127.0.0.1) e ignorare la protezione sulla cartella. Ma questo dipende molto dal codice utilizzato per il sito web.
Quindi, se il codice è solido, questa dovrebbe essere una protezione sufficiente.
Leggi altre domande sui tag php apache protection