Autor Zpráva
teta
Profil *
Ahoj, chcem sa opytat, je mozne aby si niekto zobrazil kompletnu stromovu strukturu mojho web priestoru?
Do teraz som zil v tom, ze pokial neuvediem niekto odkaz na nieco, tak to nie je dohladatelne, napr. ze ani google nenajde napr: www.priklad.sk/tajnastranka pokial na tuto konkretnu stranku neexistuje odkaz.
nightfish
Profil
možnost, jak se může vyhledávací engine dozvědět o nějaké stránce je několik:
1) přímé zaslání adresy stránky přes přidávací formulář
2) odkaz na stránku, který se povaluje někde na webu
3) vstup na stránku s touto adresou, když má člověk google toolbar (málo pravděpodobné, leč možné)
4) výpadek nebo hack webu, který způsobí, že se místo nějaké výchozí stránky (index.html) bude zobrazovat jen výpis adresáře, na který google při indexaci natrefí
teta
Profil *
nightfish, dakujem

a teraz otazka: Dokaze utocnik zistit tuto tajnustranku nejakym svojim skriptom? alebo niecim hocicim, ked nema pristup na FTP a zaroven nikde neexistuje odkaz na danu stranku?

standardne je nastavene nezobrazovanie podadresarov, atd, takze aj pri vypadku servra by sa nemalo nic stat, alebo ano?
nightfish
Profil
Dokaze utocnik zistit tuto tajnustranku nejakym svojim skriptom? alebo niecim hocicim, ked nema pristup na FTP a zaroven nikde neexistuje odkaz na danu stranku?
pokud nemá přístup na server, na kterém ten web běží (přes FTP/SSH apod.) a ani nemá přístup na počítač, na kterém je odkaz na tuto stránku uložen (třeba tvůj PC), ani neprovedl na server žádný útok, který by mu vypsal obsah adresáře (třeba přes nějaký neošetřený vstup od uživatele), tak se k té tajné stránce nemá jak dostat
Petyk
Profil
moc bych tomu neveril, ta adresa se po ceste siti muze kdekoliv odchytit. staci se podivat do nejakeho logu proxy nebo gatewaye. nebo zachytavat pakety nekde po ceste, nebo primo ve nezabezpecene wlan. doporucuju na adresar aspon basic http autorizaci....
ninja
Profil
Utocnik muze jako kazdy zkusit do prohlizece zadat www.exmaple.com/stranka1 a postupovat az treba k ./stranka6654567.

Rozdil u utocnika je ze takovych dotazu dokaze polozit treba tisic za minutu.
nightfish
Profil
Rozdil u utocnika je ze takovych dotazu dokaze polozit treba tisic za minutu.
což pro řetězec tajnastranka (délka 12) dává 12^(27+10) = 12^37 možností (počítáme libovolnou kombinaci malých písmen anglické abecedy + číslice), což při 1000 vyzkoušených kombinacích za minutu dává 12^33 minut pro prohledání celého stavového prostoru, což je nezanedbatelný časový úsek

Petyk
pravda, veškerá komunikace přes HTTP je přenášena v nešifrované podobě, tzn. lze ji někde po cestě zachytit
sicario
Profil
A co takhle zaheslovat prislusny adresar (stranku) pomoci htaccess? Nevyzaduje to zadne znalosti programovani v php. Na stranku pak muzes vesele odkazovat:-)
BetaCam
Profil
teta
Do teraz som zil v tom, ze pokial neuvediem niekto odkaz na nieco, tak to nie je dohladatelne, napr. ze ani google nenajde napr: www.priklad.sk/tajnastranka pokial na tuto konkretnu stranku neexistuje odkaz.

Získat se to dá ruznejma způsobama. Například já na svejch stránkách loguju refer pokud by si na mojí stránku přišel z té tvé tajné tak jí najdu u sebe v refer logu.

www.priklad.sk/tajnastranka

To je asi tak tajná stránka jako je tajná cena brambor. Dokud nemáš k stránce zamezenej přístup je veřejná.

A jestli se ti jedná o možnost listování adresářema. Tedy, že když někdo zadá url tvého adresáře tak se vypíše jeho obsah tak v každém adresáři by měl bejt pro jistotu soubor který vypsání adresáře zamezí. Například:

index.html

<html>
<head><title>403 Forbidden</title></head>

<body><p>Directory access is forbidden.<p></body>
</html>
DJ Miky
Profil
Stačí soubor .htaccess:

Options -Indexes
BetaCam
Profil
DJ Miky
Stačí soubor .htaccess:
Options -Indexes


Ano jiste, ale psal sem, že tam má být pro jistotu. Například na jednom ze svejch hostingů nemám povoleno v .htaccess Options takže bych to musel stejně ošetřit. Pokud se to ošetří výchozím souborem rovnou nemůže tě pak zaskočit ani kdyby byl třeba .htaccess zakázanej, protože ten adresář bude furt krytej pomocí výchozího souboru.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: