Beskytt webserver-kataloger mot uønsket surfing

Et overraskende antall mennesker har ingen anelse om at det de lagrer på sine Webservers kan bli uventet offentlig hvis det ikke er beskyttet riktig. Hvis du er en webutvikler, bør du være klar over at det ofte er mulig å få tilgang til en katalog på serveren din i en nettleser, ved å omgå det tiltenkte webgrensesnittet.

Hvis du for eksempel går til et nettsted med en URL som http://example.com/Wallpapers/Food.html, kan det være mulig å slette Food.html fra slutten av nettadressen og få en liste over alle innholdet i katalogen - kanskje inkludert bilder fra utdrikningslaget ditt, gjemt under underkatalogen "3D", hvis du legger dem der og tenker at de ville være trygge mot nysgjerrige øyne fordi de ikke brukes på noen websider.

På reddit-siden, i Open Directories subreddit, har folk et sted å sende inn ubeskyttede kataloger de har funnet på Internett for å dele med andre. I noen tilfeller kan innholdet i disse katalogene være nyttige. Hos andre kan de være pinlige. I fortsatt andre kan de være morsomme. Noen ganger kan de være direkte tragiske. Hvis du har noen filer som er lagret i innholdsområdene på webserveren din som ikke er ment for offentlig konsum, er det nå på tide å enten fjerne disse filene eller beskytte disse katalogene mot direkte surfing.

I mange tilfeller er den enkleste tilnærmingen å lage en tom index.html fil og plassere den i katalogen. På den måten vil en veloppdragen nettleser laste den tomme indekssiden i stedet for en katalogoppføring. Dette er ikke sann sikkerhet, ettersom den er avhengig av at HTTP-klienten er veloppdragen, og det er mye arbeid å huske å gjøre det for hver enkelt katalog. En mye enklere og mer effektiv tilnærming er å redigere .htaccess filen for hver katalog du vil beskytte mot indeksering av en nettleser. Det er en enklere tilnærming fordi .htaccess -fildirektiver er arvet av underkataloger.

Bare legg denne linjen til .htaccess filen i en gitt katalog for å forhindre at den indekseres:

 Options -Indexes 

Det samme konfigurasjonsdirektivet kan brukes i Apaches httpd.conf fil hvis du vil at oppførselen skal være global. I begge filene, hvis det allerede er et alternativ-direktiv, kan du bare legge til -Indexes til strengen med parametere hvis den ikke allerede er der.

En enda enklere tilnærming ville være å ganske enkelt unngå å legge filer som du ikke vil at verden skal se på en webserver, selvfølgelig.

© Copyright 2021 | pepebotifarra.com