Может кто-нибудь заглянет в папки веб-серверов?

Question

Еще вопрос безопасности веб-сервера.

Возможно ли, чтобы кто-то "исследовал" папку на веб-сервере, даже если индексный файл имеется?

Я полагаю, что они не могут, но если я хочу хранить приложения .pdf в качестве случайных имен (93fe3509edif094.pdf), я хочу убедиться, что нет возможности перечислить все PDF-файлы в папке.

Спасибо.

Answer 1

Как правило, нет.Вместо создания индексного файла вы можете также отключить apache «Параметры индексов»

Answer 2

Вообще говоря, нет.Особенно, если вы явно отключите список каталогов для этого конкретного каталога.

<Directory /path/to/directory>
   Options -Indexes
</Directory>

Источник: http://httpd.apache.org/docs/1.3/misc/FAQ.html

Однако вы должны защищать файлы с помощью какого-то процесса аутентификации, а не простоимена файлов.То, что вы предлагаете, может быть найдено простым перебором имени файла.Кроме того, люди могут обмениваться URL-адресами, люди могут прослушивать и находить URL-адреса и т. Д. Используйте лучший метод.

Answer 3

Просто отключите список каталогов на вашем веб-сервере

Answer 4

Зависит от сервера.Сервер всегда решает, что клиент может и не может видеть.В твоем случае, Apache, см. Ответ Митро.

Answer 5

Веб-серверы имеют параметр, который определяет, можно ли просматривать список каталогов.Apache называется Options Indexes:

Indexes Если запрашивается URL-адрес, который сопоставляется с каталогом, и в этом каталоге нет DirectoryIndex (например, index.html), то сервер вернет отформатированный списоккаталог.

Однако, если кто-то заранее знает URL-адрес или может легко угадать имя файла, он все равно может загрузить файл PDF.