Ukryj zawartość katalogów na serwerze (WWW)
15 lutego 2007 20:20 Ludwik Krakowiak
Jednym - ale nie jedynym - sposobem poprawy bezpieczeństwa serwera WWW przed zagrożeniem ze strony cyber-włamywaczy jest ukrywanie zawartości znajdujących się na serwerze katalogów.
Niektóre serwery są skonfigurowane tak, iż po nadejściu żądania URL kończącego się katalogiem, a nie plikiem, przyjmują określoną nazwę pliku - zwykle jest to index.html - i dołączają ją do reszty adresu. Gorzej, jeśli we wskazanym katalogu brak pliku index.html - w takim przypadku serwer wyświetli listę plików w danym katalogu.
O ile administratorowi serwera nie przeszkadza świadomość, że użytkownicy mają otwarty dostęp do plików, nie ma z tym wielkiego problemu. Jeśli jednak w katalogu znajdują się szczególnie cenne dane, można zastosować dwa sposoby ochrony:
- w każdym katalogu na serwerze umieszczać plik index.html (w ostateczności może to być pusty dokument),
- jeśli mamy do czynienia z serwerem NSCA HTTPD mechanizm wyświetlania zawartości katalogów jest domyślnie nieaktywny. Przykładowy plik access.conf zawiera natomiast linię o postaci:
Options Indexes FollowSymLinks
Usunięcie z linii słowa Indexes spowoduje włączenie wspomnianego mechanizmu.
O ile administratorowi serwera nie przeszkadza świadomość, że użytkownicy mają otwarty dostęp do plików, nie ma z tym wielkiego problemu. Jeśli jednak w katalogu znajdują się szczególnie cenne dane, można zastosować dwa sposoby ochrony:
- w każdym katalogu na serwerze umieszczać plik index.html (w ostateczności może to być pusty dokument),
- jeśli mamy do czynienia z serwerem NSCA HTTPD mechanizm wyświetlania zawartości katalogów jest domyślnie nieaktywny. Przykładowy plik access.conf zawiera natomiast linię o postaci:
Options Indexes FollowSymLinks
Usunięcie z linii słowa Indexes spowoduje włączenie wspomnianego mechanizmu.
Komentarze (2)
- Hektor
- 2007-04-03 13:14:08
To jest ważna sprawa. Znajomość systemu katalogów, nazwy i rozszerzeń plików, to jak zaproszenie do włamania. Radzę się tym zająć. Jeśli wynajmujesz serwer (wirtualny lub nie) poszukaj w panelu administracyjnym takiej opcji i zabroń pokazywania zawartości katalogu podczas błędu 404 (nie znalezienia strony), lub jeśli masz taką możliwość, zdefiniuj gdzie ma sie przenieść użytkownik podczas 404, może to być np. główna strona albo strona z info, że nie ma takiego adresu.
- slawek
- 2007-06-14 07:41:45
a czy istnieje możliwość wyświetlenia zawartości katalogu pomimo, że jest w nim plik index.html??
reklama
Popularne produkty
Smartfon SONY ERICSSON Xperia neo V
Smartfon SONY ERICSSON Xperia neo V
w 14
sklepach od 770,00 zł
Smartfon SONY ERICSSON Xperia neo V
Jak pisać CV i list motywacyjny
Jak pisać CV i list motywacyjny
w 13
sklepach od 10,88 zł
Jak pisać CV i list motywacyjny
Seks narkotyki i czekolada
Seks narkotyki i czekolada
w 18
sklepach od 29,20 zł
Seks narkotyki i czekolada
Pobierz bezpłatnego e-booka 
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
Rekomendacje
Program miesiąca
reklama