| Autor | Zpráva | ||
|---|---|---|---|
| quatzael Profil |
#1 · Zasláno: 7. 7. 2013, 17:16:57
Zajímalo by mě jestli je normálně možné, aby mi někdo procházel skripty nebo obecně soubory v mých podsložkách bez toho, aby znal jejich názvy..
Například, že si vybere podsložku pics a v ní si nějak zobrazí co všechno obsahuje.. |
||
| weroro Profil |
#2 · Zasláno: 7. 7. 2013, 17:24:39
Áno je to možné, stačí mať zapnutý výpis ako to mám tu http://temp.weroro.sk/
|
||
| Alphard Profil |
#3 · Zasláno: 7. 7. 2013, 17:27:01
Třeba na Apache to jde nastavit. Pokud to zakážete, ale nemáte moc dlouhé názvy, lze to vyzkoušet i metodou pokus omyl.
|
||
| quatzael Profil |
#4 · Zasláno: 7. 7. 2013, 17:31:16
weroro:
To jo, ale to znamená, že Ty si ho zapneš, ne? Ja mluvím o cizích osobách, záškodnících, hackerech apod. Dá se tomu nějak zabránit, aby si to nemohli projíždět? |
||
| weroro Profil |
#5 · Zasláno: 7. 7. 2013, 17:35:05 · Upravil/a: weroro
Ak máš prístupný takýto výpis defaultne, dá sa to vypnúť pomocou .htaccess (rovnako sa to dá aj zapnúť ak to nemáš defaultne)
http://viralpatel.net/blogs/htaccess-directory-listing-enable-disable-allow-deny-prevent-htaccess-directory-listing/ |
||
| quatzael Profil |
#6 · Zasláno: 7. 7. 2013, 17:39:30
weroro:
Ale když tam žádnej výpis zaplej nemám musím ještě něco zvlášť nastavovat, aby nebylo nijak možný ten obsah projíždět..? |
||
| Alphard Profil |
#7 · Zasláno: 7. 7. 2013, 17:43:38
Možná obecněji řeknu, že vyřejně přístupné soubory (obrázky, styly, ...) by měly být odděleny od serverové části. Tyto soubory můžete klidně nechat vypisovat, z bezpečnostního hlediska to ničemu nevadí. U adresáře pro upload obrázků je navíc možné vypnout interpretaci PHP (bavíme-li se o kombinaci Apache + PHP) a tím ještě zvýšit bezpečnost.
Naopak aplikační scripty je třeba chránit, v Apache configu nastavením např. deny from all. Pak není možné se k nim přes http protokol vůbec dostat a jediná přístupná brána je index.php. Přes něj se vše zpracovává a vnitřní aplikace musí samozřejmě dbát o bezpečnost a nesmí obsahovat díry.
|
||
| quatzael Profil |
#8 · Zasláno: 7. 7. 2013, 20:08:23
Alphard:
No jo, ale jak mám to deny from all nastavit, když mám doménu na Gigaserveru a nic takovýho jsem tam nenašel, že by bylo možný..
V konkrétním případě mi teď jde o schování javascriptu, který je určen pro admin rozhraní.. Ne, že by tam bylo něco extra tajnýho, ale nemusí to vidět všichni, že.. Koukám, že asi nejlepší bude, když začnu používat .htaccess.. akorát vůbec nemám ani páru jak to používat, kam to dát a už vůbec neznám žádnou syntaxi.. Na netu tutoriály taky moc nejsou.. Nevíte někdo kde se to dá naučit? |
||
| ... Profil * |
#9 · Zasláno: 7. 7. 2013, 21:21:15
|
||
|
Časová prodleva: 11 let
|
|||
0