Назад | Перейти на главную страницу

Контрольный вопрос о настройке httpd.conf AllowOverride

Я работаю над веб-сайтом, где мне нужно будет использовать команды перезаписи в .htaccess. Он не работает и, наконец, обнаружил проблему, в которой мне нужно будет установить

"AllowOverride All" в моем Apache httpd.conf

Мне интересно, есть ли какие-либо проблемы безопасности, о которых мне следует знать, когда я изменяю параметр с «AllowOverride None» на «AllowOverride All»?

Спасибо!

Хороший вопрос, и ответ - да, здесь есть риск, который вы можете оценить. Это позволит пользователю, имеющему право записи в определенный каталог, создать файл .htaccess и перезаписать различные настройки:

  • Настройки авторизации
  • Ограничения, например белые / черные списки IP-адресов.
  • Как обрабатываются типы файлов
  • Параметры в этом каталоге

Итак, конкретный пример: вы настроили глобальный белый список для виртуального хоста, который пользователь может перезаписать в каталоге, в который они могут писать. Или они могут перезаписать ваши глобальные настройки, требуя авторизованного пользователя.

Подробнее о том, что можно сделать, см. http://httpd.apache.org/docs/1.3/mod/core.html#allowoverride

Если это не разделяемая система, риск довольно минимален, поскольку обычно весь экземпляр веб-сервера будет работать от имени одного и того же пользователя, поэтому на самом деле речь не идет о том, что произойдет, если кто-то взломает веб-сервер. Его можно использовать, если кто-то может найти дыру в имеющемся у вас скрипте и записать произвольный файл, скажем, у вас есть какой-то интерфейс для загрузки.