Я усиливаю конфигурацию своего сервера Apache и задаюсь вопросом, использует ли он какие-либо другие "^.ht.+"
файлы помимо .htaccess и .htpasswd?
.htaccess
по умолчанию AccessFileName
используется apache. В `.htpasswd 'нет ничего особенного, просто большинство людей используют его, поэтому ACL упрощает доступ к ним. Нет ничего, что говорило бы, что вам нужно использовать эти имена файлов, и если у вас есть доступ к файлу httpd.conf, вам действительно не следует использовать их вообще, поскольку они замедляют доступ к каталогам. Они хороши, чтобы разрешить переопределение доступа людям, у которых нет доступа к конфигурации сервера.
При этом, если вы не изменили значения по умолчанию, используя AccessFileName
в вашей конфигурации и назвали все ваши файлы паролей .htpasswd, чем вам должно быть хорошо с точечными файлами.
Есть ли у Apache? Нет.
Единственный, который он обычно использует, это .htaccess
, но на самом деле это только из-за значения по умолчанию AccessFileName
будучи AccessFileName .htaccess
- измените эту конфигурацию, и Apache не будет интересоваться файлами, которые начинаются с .ht
.
.htpasswd
не является нормальным стандартом и даже не является хорошей идеей; Общая рекомендация заключается в том, чтобы файлы аутентификации не находились в корневом веб-каталоге, поскольку существуют другие способы (уязвимости удаленного включения файлов) потенциально получить доступ к содержимому файла, минуя ограничения доступа Apache.
У других людей? Может быть.
Общее использование .ht*
поскольку «это какой-то ограниченный / недоступный файл» ожидается / будет использоваться некоторыми людьми / контентом / веб-приложениями по многим из тех же причин, что и .htaccess
многие люди неправильно понимают, что это "правильное" место для контроля доступа и перезаписи правил, несмотря на то, что он не предназначен для этого. Итак, если вы отключите поведение по умолчанию <Files ~ "^\.ht">
(зачем вам это делать для усиления защиты?), убедитесь, что ваш контент не злоупотребляет соглашением об именах файлов, чтобы скрыть что-то.
вот как вы можете проверить, используете ли вы какой-либо другой .htaccess: core - HTTP-сервер Apache, также это то, что следует использовать любому apache, поскольку это предотвратит доступ к нему людей:
#
# The following lines prevent .htaccess and .htpasswd files from being
# viewed by Web clients.
#
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>