Это угроза безопасности не использовать файл .htaccess?

Question

У меня есть сайт Joomla www.siteA.com и другой сайт Joomla www.siteA.com/siteB.

У меня есть файл .htaccess на сайте A, но нет на сайте B.

Является ли угрозой безопасности отсутствие файла .htaccess на сайте B?

Answer 1

.htaccess файлы используются для переопределения настроек, иначе установленных в конфигурации apache. Если у вас нет ничего, что вы хотите изменить, тогда вам не нужен (и не должен быть) файл .htaccess.

Answer 2

Файл .htaccess, написанный для Joomla! в основном для целей mod_rewrite, поэтому вы можете получить URL-адреса SEF без /index.php/, застрявшего в середине. Существуют некоторые дополнительные правила для предотвращения атак, которые происходят либо с неправильно настроенными серверами, либо с плохо закодированными сторонними расширениями. Нет необходимости использовать этот файл для защиты ядра Joomla! система. Это ваша последняя линия обороны, а не ваша первая.

Answer 3

.htaccess - это файлы конфигурации, используемые для переопределения параметров на уровне каталога. Эти же параметры (и другие) можно установить в основной конфигурации apache (часто в / usr / local / etc / apache *). Если вы владеете сервером и правильно настроили конфигурацию Apache, возможно, выигрыш в отключит .htaccess по соображениям производительности.

Неправильная настройка разрешений обычно представляет угрозу безопасности. Как вы их установите, зависит от вас. Некоторые люди предпочитают, чтобы был включен .htaccess, чтобы они могли сохранять специфичные для приложения настройки вместе.

Чтобы ответить на ваш конкретный вопрос о Joomla: файл .htaccess, предоставленный по умолчанию, выполняет чуть больше, чем перезапись URL. Это обеспечивает почти нулевое преимущество в безопасности, поэтому отсутствие файла .htaccess не должно быть проблемой. Он также добавляет базовую защиту для некоторых старых сторонних модулей. Однако вы должны обновлять или удалять их, не полагаясь на .htaccess

Наконец, это зависит от того, что вы подразумеваете под безопасностью (как и почти любой вопрос, касающийся безопасности).

Answer 4

У вас есть доступ к основным файлам конфигурации сервера? Если это так, вам не следует использовать файлы .htaccess вообще. Риск безопасности заключается в том, что ваш сервер не настроен должным образом, но все эти настройки должны выполняться в основном файле конфигурации (например, /etc/apache2/httpd.conf).

Если у вас нет доступа к основным файлам конфигурации сервера, то , вероятно, не является угрозой безопасности, если у вас нет файла .htaccess. Обычно тот, кто писал основной файл конфигурации сервера, не оставлял серьезных дыр в безопасности (по крайней мере, мы на это надеемся). Но это зависит от специфики вашего сайта. Например, главный сервер может быть настроен на разрешение списков каталогов, когда в каталоге нет индексного файла. Это может быть угрозой безопасности, если у вас есть файлы, которые вы не хотите, чтобы кто-то случайно обнаружил, но в противном случае это не повредит.

Answer 5

Это риск для безопасности ИСПОЛЬЗОВАТЬ файл htaccess? Я загрузил файл htaccess в общедоступную веб-папку на работе, чтобы ограничить страницу только персоналом, но мне сказали, что я не должен использовать файлы htaccess или программирование, или я наполнил весь сайт и рискнул бы защититься. Я использовал стандартный файл htaccess, который я использовал раньше на работе в других областях без проблем. Что имел в виду веб-мастер, когда сказал, что «использование htaccess - это угроза безопасности»?