Защита директории с аватарами - .htaccess ?

blacks · 12.07.2009, 22:50

Доброе время суток все.

Задача:
закрыть папку (chmod 777) в которую загружаются аватарки пользователей.
(также хочу данный .htaccess применить к папкам с шаблонами, фотками, аттачей и пр)

Почти целую неделю лазил и выяснял какой необходим .htaccess.
К точному занаменателю не пришел.
Составил сборку директив в тестовом .htaccess

Но есть подозрения что есть дубли.
Что-то может пойти не так и станет еще хуже (по безопасности)

Привожу ниже код .htaccess с добавленными детективами.
Подскажите пожалуйста что в нем лишнее / что продублировано / что лучше улучшить?

Код:

# запрет листинга всех папок и под-папок
Options -Indexes
 
 
php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp
 
 
# Отключаем PHP.
RemoveType php
 
 
<IfModule mod_php4.c>
  php_flag engine 0
</IfModule>
 
<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>
 
 
# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml 
 
# запрет доступа к файлам
Order Deny, Allow
Deny from all

Небольшие пояснения

1. в папке с аватарками еще лежит пустой index.html
2. столько много "методов защит" - парайноя беспокоит

3. не оставил только Deny from all потому как слышал что
хакерский скрипт может из другой папки "запустить" зараженную аватарку
4. расширения указанные в качестве запрета могут быть изменены
(или немного не считаться)

Небольшие дополнения

1. нашел вот еще такую "заплатку" - стоит ли ее добавить в .htaccess

Код:

<FilesMatch ".*">
Order allow,deny
Deny from all
 
<FilesMatch "\.(список_легетимных_расширений через |)$|^$">
Order deny,allow
Allow from all

2. и еще одну - также не могу понять добовлять ее или нет :/

Код:

Options None
Options +FollowSymLinks

Всем откинувшимся заранее большое СПАСИБО!

kost · 12.07.2009, 23:59

Чего вы хотите добиться в итоге?

Добавлено через 59 секунд

php_flag engine 0 у вас повторяется три раза.

Вы хотите создать универсальный .htaccess, или под конкретный сайт?

blacks · 13.07.2009, 19:38

Цитата:

Сообщение от kost

php_flag engine 0 у вас повторяется три раза.

- возможно - просто я в этом не силен. подскажите пожалуйста что лишнее?

Цитата:

Сообщение от kost

Вы хотите создать универсальный .htaccess, или под конкретный сайт?

- нечто универсальное, часть, для закрытия папок с аттачми и папок с chmod 777

kost · 13.07.2009, 21:46

Что значит "для закрытия"? Последнее правило в вашем .htaccess закрывает директорию полностью для доступа из веб, файлы из не вы вообще не увидите.

Читайте документацию, и вот эту заметку на Хабре: http://habrahabr.ru/blogs/php/61842/

blacks · 13.07.2009, 21:51

Цитата:

Сообщение от kost

Что значит "для закрытия"? Последнее правило в вашем .htaccess закрывает директорию полностью для доступа из веб, файлы из не вы вообще не увидите.\

Читайте документацию, и вот эту заметку на Хабре: http://habrahabr.ru/blogs/php/61842/

я этой статьей и начинал! перечитал наверно раз 8

С дублями в примере не поможете?

kost · 13.07.2009, 22:40

Сначала разберитесь, что делает это:

Код:

# запрет доступа к файлам
Order Deny, Allow
Deny from all

А потом поговорим о дублях.

Добавлено через 18 секунд

http://www.iho.ru/faq/manual/htaccess.html

deMone · 15.07.2009, 19:22

Развратили людишек.

Они больше не просто не желают думать головой — они даже не знают, что это возможно.

Пошёл плакать.

blacks · 17.07.2009, 01:27

Плакать не нада

Просто работая одиночкой и делая серьезные (с моей точки зрения) сайты
разбираюсь в типографской верстке, веб дизайн, полиграфия, промоушен-реклама, веб верстка, сеошка - на все просто нет времени. и думать о "занудной защите" просто нет времени. Что в силах понять и на что есть время то и делаю

deMone · 17.07.2009, 18:19

К сожалению, вы ещё и в том, в чём пытаетесь разобраться, не разбираетесь совершенно.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Запуск perl-скриптов в /cgi-bin - директории	handler	ASP, Perl, PHP и MySQL	1	29.04.2010 17:43
Закрыть просмотр содержания директории через htaccess	andrei_a	ASP, Perl, PHP и MySQL	3	03.05.2007 14:31
Защита ActionScript	andrey61	Технологии Flash	1	12.02.2006 22:58
Защита файла	Леха	HTML, CSS, JavaScript	7	08.08.2005 00:02
Тупость с аватарами	kost	Книга жалоб и предложений	7	03.11.2003 17:45

12.07.2009, 22:50	#1
blacks	Доброе время суток все. Задача: закрыть папку (chmod 777) в которую загружаются аватарки пользователей. (также хочу данный .htaccess применить к папкам с шаблонами, фотками, аттачей и пр) Почти целую неделю лазил и выяснял какой необходим .htaccess. К точному занаменателю не пришел. Составил сборку директив в тестовом .htaccess Но есть подозрения что есть дубли. Что-то может пойти не так и станет еще хуже (по безопасности) Привожу ниже код .htaccess с добавленными детективами. Подскажите пожалуйста что в нем лишнее / что продублировано / что лучше улучшить? Код: # запрет листинга всех папок и под-папок Options -Indexes php_flag engine 0 AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp # Отключаем PHP. RemoveType php <IfModule mod_php4.c> php_flag engine 0 </IfModule> <IfModule mod_php5.c> php_flag engine 0 </IfModule> # запрет на запуск файлов RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml # запрет доступа к файлам Order Deny, Allow Deny from all Небольшие пояснения 1. в папке с аватарками еще лежит пустой index.html 2. столько много "методов защит" - парайноя беспокоит 3. не оставил только Deny from all потому как слышал что хакерский скрипт может из другой папки "запустить" зараженную аватарку 4. расширения указанные в качестве запрета могут быть изменены (или немного не считаться) Небольшие дополнения 1. нашел вот еще такую "заплатку" - стоит ли ее добавить в .htaccess Код: <FilesMatch "."> Order allow,deny Deny from all <FilesMatch "\.(список_легетимных_расширений через \|)$\|^$"> Order deny,allow Allow from all 2. и еще одну - также не могу понять добовлять ее или нет :/ Код: Options None Options +FollowSymLinks Всем откинувшимся заранее большое СПАСИБО!*

12.07.2009, 23:59	#2
kost	Чего вы хотите добиться в итоге? Добавлено через 59 секунд php_flag engine 0 у вас повторяется три раза. Вы хотите создать универсальный .htaccess, или под конкретный сайт? Последний раз редактировалось kost; 12.07.2009 в 23:59.. Причина: Добавлено сообщение

13.07.2009, 21:46	#4
kost	Что значит "для закрытия"? Последнее правило в вашем .htaccess закрывает директорию полностью для доступа из веб, файлы из не вы вообще не увидите. Читайте документацию, и вот эту заметку на Хабре: http://habrahabr.ru/blogs/php/61842/ Последний раз редактировалось kost; 13.07.2009 в 21:59..

13.07.2009, 22:40	#6
kost	Сначала разберитесь, что делает это: Код: # запрет доступа к файлам Order Deny, Allow Deny from all А потом поговорим о дублях. Добавлено через 18 секунд http://www.iho.ru/faq/manual/htaccess.html Последний раз редактировалось kost; 13.07.2009 в 22:40.. Причина: Добавлено сообщение

15.07.2009, 19:22	#7
deMone	Развратили людишек. Они больше не просто не желают думать головой — они даже не знают, что это возможно. Пошёл плакать.

17.07.2009, 01:27	#8
blacks	Плакать не нада Просто работая одиночкой и делая серьезные (с моей точки зрения) сайты разбираюсь в типографской верстке, веб дизайн, полиграфия, промоушен-реклама, веб верстка, сеошка - на все просто нет времени. и думать о "занудной защите" просто нет времени. Что в силах понять и на что есть время то и делаю

17.07.2009, 18:19	#9
deMone	К сожалению, вы ещё и в том, в чём пытаетесь разобраться, не разбираетесь совершенно.