Вернуться   Дизайнерский форум » ВЕБ-ПРОГРАММИРОВАНИЕ » Безопасность

Защита директории с аватарами - .htaccess ?

Обсуждение темы Защита директории с аватарами - .htaccess ? в разделе Безопасность, часть категории ВЕБ-ПРОГРАММИРОВАНИЕ; Доброе время суток все. Задача: закрыть папку (chmod 777) в которую загружаются аватарки пользователей. (также хочу данный .htaccess применить к папкам с шаблонами, ...


Закрытая тема
 
Опции темы
Старый 12.07.2009, 22:50   #1
Доброе время суток все.

Задача:
закрыть папку (chmod 777) в которую загружаются аватарки пользователей.
(также хочу данный .htaccess применить к папкам с шаблонами, фотками, аттачей и пр)

Почти целую неделю лазил и выяснял какой необходим .htaccess.
К точному занаменателю не пришел.
Составил сборку директив в тестовом .htaccess

Но есть подозрения что есть дубли.
Что-то может пойти не так и станет еще хуже (по безопасности)

Привожу ниже код .htaccess с добавленными детективами.
Подскажите пожалуйста что в нем лишнее / что продублировано / что лучше улучшить?


Код:
# запрет листинга всех папок и под-папок
Options -Indexes
 
 
php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp
 
 
# Отключаем PHP.
RemoveType php
 
 
<IfModule mod_php4.c>
  php_flag engine 0
</IfModule>
 
<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>
 
 
# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml 
 
# запрет доступа к файлам
Order Deny, Allow
Deny from all
Небольшие пояснения

1. в папке с аватарками еще лежит пустой index.html
2. столько много "методов защит" - парайноя беспокоит
3. не оставил только Deny from all потому как слышал что
хакерский скрипт может из другой папки "запустить" зараженную аватарку
4. расширения указанные в качестве запрета могут быть изменены
(или немного не считаться)


Небольшие дополнения

1. нашел вот еще такую "заплатку" - стоит ли ее добавить в .htaccess
Код:
<FilesMatch ".*">
Order allow,deny
Deny from all
 
<FilesMatch "\.(список_легетимных_расширений через |)$|^$">
Order deny,allow
Allow from all
2. и еще одну - также не могу понять добовлять ее или нет :/
Код:
Options None
Options +FollowSymLinks
Всем откинувшимся заранее большое СПАСИБО!
 
Старый 12.07.2009, 22:50
Ссылки
Старый 12.07.2009, 23:59   #2
Чего вы хотите добиться в итоге?

Добавлено через 59 секунд

php_flag engine 0 у вас повторяется три раза.

Вы хотите создать универсальный .htaccess, или под конкретный сайт?

Последний раз редактировалось kost; 12.07.2009 в 23:59.. Причина: Добавлено сообщение
 
Старый 13.07.2009, 19:38   #3
Цитата:
Сообщение от kost Посмотреть сообщение
php_flag engine 0 у вас повторяется три раза.
- возможно - просто я в этом не силен. подскажите пожалуйста что лишнее?

Цитата:
Сообщение от kost Посмотреть сообщение
Вы хотите создать универсальный .htaccess, или под конкретный сайт?
- нечто универсальное, часть, для закрытия папок с аттачми и папок с chmod 777

Последний раз редактировалось blacks; 13.07.2009 в 19:42..
 
Старый 13.07.2009, 21:46   #4
Что значит "для закрытия"? Последнее правило в вашем .htaccess закрывает директорию полностью для доступа из веб, файлы из не вы вообще не увидите.

Читайте документацию, и вот эту заметку на Хабре: http://habrahabr.ru/blogs/php/61842/

Последний раз редактировалось kost; 13.07.2009 в 21:59..
 
Старый 13.07.2009, 21:51   #5
Цитата:
Сообщение от kost Посмотреть сообщение
Что значит "для закрытия"? Последнее правило в вашем .htaccess закрывает директорию полностью для доступа из веб, файлы из не вы вообще не увидите.\

Читайте документацию, и вот эту заметку на Хабре: http://habrahabr.ru/blogs/php/61842/
я этой статьей и начинал! перечитал наверно раз 8

С дублями в примере не поможете?
 
Старый 13.07.2009, 22:40   #6
Сначала разберитесь, что делает это:
Код:
# запрет доступа к файлам
Order Deny, Allow
Deny from all
А потом поговорим о дублях.

Добавлено через 18 секунд

http://www.iho.ru/faq/manual/htaccess.html

Последний раз редактировалось kost; 13.07.2009 в 22:40.. Причина: Добавлено сообщение
 
Старый 15.07.2009, 19:22   #7
Развратили людишек.

Они больше не просто не желают думать головой — они даже не знают, что это возможно.

Пошёл плакать.
 
Старый 17.07.2009, 01:27   #8
Плакать не нада
Просто работая одиночкой и делая серьезные (с моей точки зрения) сайты
разбираюсь в типографской верстке, веб дизайн, полиграфия, промоушен-реклама, веб верстка, сеошка - на все просто нет времени. и думать о "занудной защите" просто нет времени. Что в силах понять и на что есть время то и делаю
 
Старый 17.07.2009, 18:19   #9
К сожалению, вы ещё и в том, в чём пытаетесь разобраться, не разбираетесь совершенно.
 
Старый 17.07.2009, 18:19
Закрытая тема




Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Запуск perl-скриптов в /cgi-bin - директории handler ASP, Perl, PHP и MySQL 1 29.04.2010 17:43
Закрыть просмотр содержания директории через htaccess andrei_a ASP, Perl, PHP и MySQL 3 03.05.2007 14:31
Защита ActionScript andrey61 Технологии Flash 1 12.02.2006 22:58
Защита файла Леха HTML, CSS, JavaScript 7 08.08.2005 00:02
Тупость с аватарами kost Книга жалоб и предложений 7 03.11.2003 17:45


Текущее время: 21:36. Часовой пояс GMT +4.

Реклама на форуме Условия размещения рекламы
Биржа ссылок Заработай на сайте!
Дизайнерский форум