Защита директории с аватарами

Тема в разделе "Веб-дизайн", создана пользователем koltun, 13 июл 2009.

Статус темы:
Закрыта.
Модераторы: zek24
  1. koltun

    koltun Писатель

    Регистр.:
    24 июн 2009
    Сообщения:
    4
    Симпатии:
    0
    Доброе время суток все.
    Задача:
    закрыть папку (chmod 777) в которую загружаются аватарки пользователей.
    (также хочу данный .htaccess применить к папкам с шаблонами, фотками, аттачей и пр)
    Почти целую неделю лазил и выяснял какой необходим .htaccess.
    К точному занаменателю не пришел.
    Составил сборку директив в тестовом .htaccess
    Но есть подозрения что есть дубли.
    Что-то может пойти не так и станет еще хуже (по безопасности)
    Привожу ниже код .htaccess с добавленными детективами.
    Подскажите пожалуйста что в нем лишнее / что продублировано / что лучше улучшить?
    Код:
    # запрет листинга всех папок и под-папок
    Options -Indexes
    php_flag engine 0
    AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp
    # Отключаем PHP.
    RemoveType php
    <IfModule mod_php4.c>
      php_flag engine 0
    </IfModule>
    <IfModule mod_php5.c>
      php_flag engine 0
    </IfModule>
    # запрет на запуск файлов
    RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
    AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml 
    # запрет доступа к файлам
    Order Deny, Allow
    Deny from all
    Небольшие пояснения
    1. в папке с аватарками еще лежит пустой index.html
    2. столько много "методов защит" - парайноя беспокоит :)
    3. не оставил только Deny from all потому как слышал что
    хакерский скрипт может из другой папки "запустить" зараженную аватарку
    4. расширения указанные в качестве запрета могут быть изменены
    (или немного не считаться)
    Небольшие дополнения
    1. нашел вот еще такую "заплатку" - стоит ли ее добавить в .htaccess
    Код:
    <FilesMatch ".*">
    Order allow,deny
    Deny from all
    <FilesMatch "\.(список_легетимных_расширений через |)$|^$">
    Order deny,allow
    Allow from all
    2. и еще одну - также не могу понять добовлять ее или нет :/
    Код:
    Options None
    Options +FollowSymLinks
    Всем откинувшимся заранее большое СПАСИБО!
     
  2. RayTraceR1

    RayTraceR1 Создатель

    Регистр.:
    27 июн 2009
    Сообщения:
    44
    Симпатии:
    15
    Ну во-первых:

    Тут ошибка, не должен быть пробел после запятой где Deny, апач будет ругаться на ошибку в конфигурации(у меня так),
    Далее: это запрет на отображение всех файлов, тоесть даже сам движок не сможет отобразить эти файлы(тоесть у пользователей не будут видны аватары).
    А вот это запретит просмотр содержимого каталога
    Для чего он повторяется у вас 3 раза?
     
  3. koltun

    koltun Писатель

    Регистр.:
    24 июн 2009
    Сообщения:
    4
    Симпатии:
    0
    Спасибо!
    У меня в инструкциях на петерхосте + еще где-то в интеренете
    читал написано наоборот что скрипты видят...
    Там просто обозначены какие-то "mod_php4.c" и "mod_php3.c"
    о которых я не знаю - что из них лишнее?
     
  4. RayTraceR1

    RayTraceR1 Создатель

    Регистр.:
    27 июн 2009
    Сообщения:
    44
    Симпатии:
    15
    Можете сами проверить и поймете о чем я)
    не mod_php3.c а mod_php5.c
    Это взависимости от версии PHP на сервере
    если 4 значит mod_php4.c, если 5 - mod_php5.c

    И вообще мне кажется, никак незащитить аватары, ведь картинку можно и с профиля скачать...
     
  5. koltun

    koltun Писатель

    Регистр.:
    24 июн 2009
    Сообщения:
    4
    Симпатии:
    0
    Да не в скачиваемых картинках дело :ah:...

    Значит вместо

    Код:
    RemoveType php
    <IfModule mod_php4.c>
      php_flag engine 0
    </IfModule>
    <IfModule mod_php5.c>
      php_flag engine 0
    </IfModule>
    можно просто оставить
    Код:
    php_flag engine 0
    ?


    А вот с:
    Код:
    Order Deny, Allow
    Deny from all
    действительно что-то перемудрил :ah: - сижу разбираюсь :(
     
  6. RayTraceR1

    RayTraceR1 Создатель

    Регистр.:
    27 июн 2009
    Сообщения:
    44
    Симпатии:
    15
    Да, но тут стоит проверить опытным путем, будет ли из этой папки работать какой либо php скрипт
     
  7. koltun

    koltun Писатель

    Регистр.:
    24 июн 2009
    Сообщения:
    4
    Симпатии:
    0
    Ок. Буду стараца - проверять
     
Статус темы:
Закрыта.