Назад | Перейти на главную страницу

Использует ли Apache какие-либо другие файлы dot ht, кроме .htaccess и .htpasswd?

Я усиливаю конфигурацию своего сервера Apache и задаюсь вопросом, использует ли он какие-либо другие "^.ht.+" файлы помимо .htaccess и .htpasswd?

.htaccess по умолчанию AccessFileName используется apache. В `.htpasswd 'нет ничего особенного, просто большинство людей используют его, поэтому ACL упрощает доступ к ним. Нет ничего, что говорило бы, что вам нужно использовать эти имена файлов, и если у вас есть доступ к файлу httpd.conf, вам действительно не следует использовать их вообще, поскольку они замедляют доступ к каталогам. Они хороши, чтобы разрешить переопределение доступа людям, у которых нет доступа к конфигурации сервера.

При этом, если вы не изменили значения по умолчанию, используя AccessFileName в вашей конфигурации и назвали все ваши файлы паролей .htpasswd, чем вам должно быть хорошо с точечными файлами.

Есть ли у Apache? Нет.

Единственный, который он обычно использует, это .htaccess, но на самом деле это только из-за значения по умолчанию AccessFileName будучи AccessFileName .htaccess - измените эту конфигурацию, и Apache не будет интересоваться файлами, которые начинаются с .ht.

.htpasswd не является нормальным стандартом и даже не является хорошей идеей; Общая рекомендация заключается в том, чтобы файлы аутентификации не находились в корневом веб-каталоге, поскольку существуют другие способы (уязвимости удаленного включения файлов) потенциально получить доступ к содержимому файла, минуя ограничения доступа Apache.

У других людей? Может быть.

Общее использование .ht* поскольку «это какой-то ограниченный / недоступный файл» ожидается / будет использоваться некоторыми людьми / контентом / веб-приложениями по многим из тех же причин, что и .htaccess многие люди неправильно понимают, что это "правильное" место для контроля доступа и перезаписи правил, несмотря на то, что он не предназначен для этого. Итак, если вы отключите поведение по умолчанию <Files ~ "^\.ht"> (зачем вам это делать для усиления защиты?), убедитесь, что ваш контент не злоупотребляет соглашением об именах файлов, чтобы скрыть что-то.

вот как вы можете проверить, используете ли вы какой-либо другой .htaccess: core - HTTP-сервер Apache, также это то, что следует использовать любому apache, поскольку это предотвратит доступ к нему людей:

#
# The following lines prevent .htaccess and .htpasswd files from being 
# viewed by Web clients. 
#
<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>