4
.htaccess 파일 (공개 아파치 웹 루트 외부의 .htpasswd 파일)로 웹 디렉토리를 보호하는 것이 디렉토리 (및 그 내용)를 보호하는 안전한 방법인지 궁금합니다..htaccess 파일로 웹 사이트 디렉토리를 보호하고 있습니까?
누군가 이러한 종류의 보호에 대해 설명 할 수 있습니까?
A
답변
6
표준 http 프로토콜을 사용하는 경우 인증은 인터넷을 통해 보호되지 않은 채 전달됩니다. 누군가가 암호를 알아낼 수 있기 때문에 이것은 안전하다고 간주되지 않습니다.
액세스를 https로 제한하면 매우 안전합니다. 이것은 ssl 암호화 된 http 트래픽 (브라우저의 주소 줄에 포트 433, https : //)에 대한 apache 모듈을 설치하고 활성화하고 포트 80에서이 디렉토리에 대한 표준 http 트래픽을 비활성화한다는 것을 의미합니다. 사용자 이름과 비밀번호는 ssl입니다. 암호화 됨. 좋은 암호를 선택하십시오 (충분히 길고 복잡하며 추측하거나 무차별 한 힘이 불가능 함).
아파치 구성이 까다로울 수 있으므로 간단하게 유지하고 가능한 실수를 테스트하기 위해 많은주의를 기울여야합니다.
지식 및 제어 권한이있는 경우 .htaccess 파일에서 기본 apache 구성 파일로 액세스 제한 구성을 이동하는 것이 좋습니다. .htacces 파일에 보관하는 것이 더 쉬울 수도 있습니다. 그리고 "쉽다"는 더 안전 할 수 있습니다. 그것이 당신을 위해 유지하고 기억하기 쉽고 안전하고 쉽게 느끼는 방식으로하십시오.
당신이 PHP와 이메일 보호 된 디렉토리는 간단한 알람 스크립트를 작성할 수 있습니다 컴퓨터에 구성되어있는 경우 :
이 보안을 강화하고 사고를 방지하는 간단한 설정이다. htaccess 보호가 작동하지 않는다는 것을 알려주는 전자 메일을 보내는 PHP 메일 기능이있는 한 줄의 "alarm.php"파일입니다.
도메인과 디렉토리 경로가 "http://mybox.example.com/secretdir/alarm.php"인 경우 다른 컴퓨터의 브라우저에이 경로를 입력 할 수 있으며 htaccess가 "열려 있어야"해당 메일을 가져와야합니다. 보호 된 경우 사용자 이름과 암호를 입력 할 수 있으며 메일도 받게됩니다.
15 분마다이 URL을 얻으려는 다른 유닉스 박스를 사용할 수있는 자동 알람을 만들 수 있습니다. crontab 파일의 라인 :
*/15 * * * * 사용자 1의 wget을 http://mybox.example.com/secretdir/alarm.php
사용자 1은 wget을 실행할 수있는이 컴퓨터의 사용자이며, wget을 설치해야합니다.
htaccess 보호를 테스트로 사용하지 않도록 설정할 수 있으며 15 분마다 메일을 받아야합니다.
내 경험에 비추어 볼 때 여러분이 생각하는 디렉토리가 보호 장치를 잃어 버리고 무언가를 바꿀 때 보호 기능을 잃는 일반적인 보안 결함이 있습니다.이 방법을 사용하면 경고하는 이메일을받을 수 있습니다.
0
.htaccess는 에 기본 구성 파일에 액세스 권한이 없거나 루트 액세스 권한이없는 경우 Apache HTTPD에서 제공하는 리소스에 대해 디렉토리 별 구성을 변경하는 방법과 매우 비슷합니다.
기본 구성에 액세스 할 수있는 경우 인증을 포함하여 모든 구성을 하나의 중앙 위치에 두는 것이 훨씬 쉽습니다 (여러 파일로 분할되어 있어도 간과하기 쉽지 않음). 제 경험을 통해 알 수 있듯이 .htaccess 개의 파일을 잊어 버리는 것은 시간 문제 일뿐입니다.
가능한 경우 .htaccess 파일의 사용을 피해야한다는 공식 문서가 여러 차례 언급되었습니다.
.htaccess의 사용이 유일한 선택 인 경우, 즉, 주요 HTTPD의 설정과 같은 일반적인 보안 지침을 준수 그들을 읽기 권한이없는 사용자를 방지, 파일 서버에서 읽을 수 있는지 확인하십시오, 당신은 디렉토리를 가지고 있는지를 사용할 목록을 확인 항상 확인 반드시 암호 등의 추가 정보를 위해
0
.htaccess 파일이 매우 편리를 확인하시기 바랍니다 암호화/해시 형식으로 저장됩니다,하지만 ...이 코드를 악용하는 사람으로부터 당신을 보호하지 않습니다 그리고 그가 원하는 파일을 읽는 것. 해커가 스크립트 (일반적으로 www- 데이터)를 실행하는 사용자의 권리를 얻으므로 사이트 (작은 스크립트 한 개라도)가 악용 될 경우 .htaccess 나 다른 솔루션으로도 보호되지 않습니다.
이것은 특히 CGI에서는 고통 스럽지만 다른 스크립트도 해킹 당하고 있습니다.
1
내가 아는 한, htaccess는 가로 챌 경우 해킹하기 쉽습니다 (예 : 네트워크 스니퍼가 실행중인 인터넷 카페에서 로그인하는 중입니다). As far as I know, Digest authentication이 문제를 해결하는 데 도움이됩니다.
관련 문제
- 1. 웹 사이트 언어 - htaccess RewriteRule
- 2. 암호로 디렉토리를 보호하십시오 .htaccess
- 3. 은 .htaccess 파일로 클로킹이 가능합니다.
- 4. 디렉토리를 파일로 복사하는 FileUpload
- 5. .htaccess 파일로 리디렉션
- 6. .htaccess redirection - 두 개의 공유 웹 사이트
- 7. 다국어 사이트 용 htaccess
- 8. apache - 스마트 폴더를 보호하고 숨기는 방법은 무엇입니까? robots.txt? .htaccess? 다른 것 또는 그 이상의 것이 있습니까?
- 9. Unix에서 디렉토리를 파일로 읽으려면 어떻게해야합니까?
- 10. .htaccess 404 PHP 파일로 리디렉션
- 11. Silverlight 응용 프로그램에서 SharePoint 웹 서비스를 안전하게 보호하고 있습니까?
- 12. .htaccess 특정 디렉토리를 제외한 다른 곳으로 리디렉션
- 13. htaccess 전체 경로 디렉토리를 참조하는 mod_rewrite
- 14. .htaccess 존재하는 경우 캐시 된 파일로 리디렉션
- 15. 하나의 디렉토리를 제외한 전체 사이트를 새 사이트로 리디렉션 - apache .htaccess
- 16. 웹 사이트
- 17. .htaccess 하위 디렉토리를 null로 다시 작성하십시오.
- 18. Lighttpd - .htaccess/디렉토리를 사용할 수 있습니다.
- 19. .htaccess ..를 사용하여 URL에서 디렉토리를 제거하는 방법
- 20. 나쁜 프로그래밍에서 한 클래스를 보호하고 있습니까?
- 21. .htaccess 파일이 다음 웹 사이트 sak.ps에서 작동하지 않는 이유는 무엇입니까?
- 22. htaccess : 여러 하위 폴더 및 웹 사이트 액세스
- 23. PHP & Javascript : 게시자를 위해 웹 해커를 보호하고 방법을 얻는 방법?
- 24. 제한된 수의 파일로 스캔 디렉토리를 찾으십니까?
- 25. .htaccess 파일로 sinatra를 사용하는 일부 경로를 보호 할 수 있습니까?
- 26. 레일에 htaccess 비밀번호 보호 기능을 사용하고 있습니까?
- 27. 데이터 센터 장애로부터 보호하고 시뮬레이션하십시오.
- 28. 웹 사이트 파일 캐싱?
- 29. htaccess 및 php로 가짜 하위 디렉토리를 만들고 기존 디렉토리를 그대로 유지하십시오.
- 30. .htaccess 리디렉션 iframe 제외
htaccess로 보호되는 디렉토리 암호에 전체 스크립트가 완전히 존재하는 경우 스크립트에 전혀 액세스 할 수 없기 때문에 스크립트를 해킹하는 것이 불가능하지 않습니까? 그 시나리오에서 htacess는 얼마나 안전합니까? – 0plus1
이것이이 서버의 유일한 스크립트 인 경우 매우 안전합니다. 다른 디렉토리의 다른 스크립트가 해킹 당하면 문제가 발생할 수 있습니다. –