Доступ К Папке Protected И Структура Проекта

pupadupa · November 7, 2013, 10:50pm

Привет.

я заметил, что можно спокойно посмотреть структуры папки protected и пр. папок

http://localhost/tesdrive/protected/

кажется структура проекта, создаваемая по умолчанию, не очень безопасна.

Подскажите, пожалуйста,

К каким файлам/папка нужно закрыть доступ при продакшен использовании?
Предлагается доступ закрывать в .htaccess ?
Почему по дефолту не реализована структура, где папка protected (и прочие папки, которые не должны быть доступны пользователю) вынесена на уровень выше (вне web root)?

Спасибо.

Angel_De_La_Noche · November 7, 2013, 11:01pm

Эээм, да?

Вроде раньше там лежал .htaccess с deny from all.

Структура не реализована, полагаю, для простоты использования: скачал, закинул в webroot, работает.

А вообще на сайте примечание висит:

У меня примерно так:

в /protected


deny from all

в папке с пользовательскими загрузками


Options -Indexes

php_flag engine off

Надо отметить, что в Yii2 все папки по умолчанию уже вынесены за пределы /web

pupadupa · November 7, 2013, 11:34pm

хм, проверил, действительно есть там .htaccess. Значит, что-то не так настроено у меня.

Спасибо!

ineersa · November 8, 2013, 7:50am

Кстати в 5.4 это удалено. При обновлении вылезла трабла, апач напрочь отказывался стартовать из за этого флага. Пришлось убирать везде.

Не подскажете какие флаги можно использовать с 5.4+ для предотвращения эксплойтов?

Angel_De_La_Noche · November 8, 2013, 10:46am

Бдыщщ

Обновляйтесь )

ineersa · November 8, 2013, 3:49pm

Странно это как то. У меня 5.4.21, апач 2.4.6. Пока не убрал везде с htaccess не запускался.

Можно попробовать что то такое:




<Files ~ "\.(php[2-5]?|cgi|pl|fcgi|fpl|phtml|shtml|asp|jsp)$">

    Deny from all

</Files>

Может еще какие то советы подскажете? Уже был случай когда в картинку дописывали php код, так что больная тема, а в безопасности я не силен. С обновлением апача и добавкой проверка уязвимость ушла, интересно что еще могут придумать.