Доступ К Папке Protected И Структура Проекта

Привет.

я заметил, что можно спокойно посмотреть структуры папки protected и пр. папок

http://localhost/tesdrive/protected/

кажется структура проекта, создаваемая по умолчанию, не очень безопасна.

Подскажите, пожалуйста,

  1. К каким файлам/папка нужно закрыть доступ при продакшен использовании?

  2. Предлагается доступ закрывать в .htaccess ?

  3. Почему по дефолту не реализована структура, где папка protected (и прочие папки, которые не должны быть доступны пользователю) вынесена на уровень выше (вне web root)?

Спасибо.

Эээм, да?

Вроде раньше там лежал .htaccess с deny from all.

Структура не реализована, полагаю, для простоты использования: скачал, закинул в webroot, работает.

А вообще на сайте примечание висит:

У меня примерно так:

в /protected


deny from all

в папке с пользовательскими загрузками


Options -Indexes

php_flag engine off



Надо отметить, что в Yii2 все папки по умолчанию уже вынесены за пределы /web

хм, проверил, действительно есть там .htaccess. Значит, что-то не так настроено у меня.

Спасибо!

Кстати в 5.4 это удалено. При обновлении вылезла трабла, апач напрочь отказывался стартовать из за этого флага. Пришлось убирать везде.

Не подскажете какие флаги можно использовать с 5.4+ для предотвращения эксплойтов?

Бдыщщ

Обновляйтесь )

Странно это как то. У меня 5.4.21, апач 2.4.6. Пока не убрал везде с htaccess не запускался.

Можно попробовать что то такое:




<Files ~ "\.(php[2-5]?|cgi|pl|fcgi|fpl|phtml|shtml|asp|jsp)$">

    Deny from all

</Files>



Может еще какие то советы подскажете? Уже был случай когда в картинку дописывали php код, так что больная тема, а в безопасности я не силен. С обновлением апача и добавкой проверка уязвимость ушла, интересно что еще могут придумать.