Защита директории с аватарами

Статус
В этой теме нельзя размещать новые ответы.

koltun

Писатель
Регистрация
24 Июн 2009
Сообщения
4
Реакции
0
Доброе время суток все.
Задача:
закрыть папку (chmod 777) в которую загружаются аватарки пользователей.
(также хочу данный .htaccess применить к папкам с шаблонами, фотками, аттачей и пр)
Почти целую неделю лазил и выяснял какой необходим .htaccess.
К точному занаменателю не пришел.
Составил сборку директив в тестовом .htaccess
Но есть подозрения что есть дубли.
Что-то может пойти не так и станет еще хуже (по безопасности)
Привожу ниже код .htaccess с добавленными детективами.
Подскажите пожалуйста что в нем лишнее / что продублировано / что лучше улучшить?
Код:
# запрет листинга всех папок и под-папок
Options -Indexes
php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp
# Отключаем PHP.
RemoveType php
<IfModule mod_php4.c>
  php_flag engine 0
</IfModule>
<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>
# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml 
# запрет доступа к файлам
Order Deny, Allow
Deny from all

Небольшие пояснения
1. в папке с аватарками еще лежит пустой index.html
2. столько много "методов защит" - парайноя беспокоит :)
3. не оставил только Deny from all потому как слышал что
хакерский скрипт может из другой папки "запустить" зараженную аватарку
4. расширения указанные в качестве запрета могут быть изменены
(или немного не считаться)
Небольшие дополнения
1. нашел вот еще такую "заплатку" - стоит ли ее добавить в .htaccess
Код:
<FilesMatch ".*">
Order allow,deny
Deny from all
<FilesMatch "\.(список_легетимных_расширений через |)$|^$">
Order deny,allow
Allow from all
2. и еще одну - также не могу понять добовлять ее или нет :/
Код:
Options None
Options +FollowSymLinks
Всем откинувшимся заранее большое СПАСИБО!
 
Ну во-первых:

Код:
Order Deny, Allow
Deny from all
Тут ошибка, не должен быть пробел после запятой где Deny, апач будет ругаться на ошибку в конфигурации(у меня так),
Далее: это запрет на отображение всех файлов, тоесть даже сам движок не сможет отобразить эти файлы(тоесть у пользователей не будут видны аватары).
А вот это запретит просмотр содержимого каталога
Для чего он повторяется у вас 3 раза?
 
Ну во-первых:
Тут ошибка, не должен быть пробел после запятой где Deny, апач будет ругаться на ошибку в конфигурации(у меня так),
Спасибо!
Далее: это запрет на отображение всех файлов, тоесть даже сам движок не сможет отобразить эти файлы(тоесть у пользователей не будут видны аватары).
У меня в инструкциях на петерхосте + еще где-то в интеренете
читал написано наоборот что скрипты видят...
А вот это запретит просмотр содержимого каталога
Для чего он повторяется у вас 3 раза?
Там просто обозначены какие-то "mod_php4.c" и "mod_php3.c"
о которых я не знаю - что из них лишнее?
 
У меня в инструкциях на петерхосте + еще где-то в интеренете
читал написано наоборот что скрипты видят...
Можете сами проверить и поймете о чем я)
Там просто обозначены какие-то "mod_php4.c" и "mod_php3.c"
о которых я не знаю - что из них лишнее?
не mod_php3.c а mod_php5.c
Это взависимости от версии PHP на сервере
если 4 значит mod_php4.c, если 5 - mod_php5.c

И вообще мне кажется, никак незащитить аватары, ведь картинку можно и с профиля скачать...
 
Да не в скачиваемых картинках дело :ah:...

Значит вместо

Код:
RemoveType php
<IfModule mod_php4.c>
  php_flag engine 0
</IfModule>
<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>

можно просто оставить
Код:
php_flag engine 0
?


А вот с:
Код:
Order Deny, Allow
Deny from all
действительно что-то перемудрил :ah: - сижу разбираюсь :(
 
Да, но тут стоит проверить опытным путем, будет ли из этой папки работать какой либо php скрипт
 
Ок. Буду стараца - проверять
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху