Безопасность. Является ли хорошей практикой присваивать имена папкам на сервере, которые трудно угадать?

Question

Секретный вопрос. Является ли хорошей практикой именовать папки на сервере по именам, которые трудно угадать (8+ символов, а не просто «admin» или «services»)? Я спрашиваю о папках, которые содержат не только значки или файлы .js или .css, но и файлы .php и защищены файлом .htaccess (запретить всем).

Answer 1

Нет. Безопасность через неизвестность - это не так.

Плюс это действительно раздражает любого, кто использует машину через оболочку, FTP и т. Д.

От чего это защитит? Независимо от имен доступ к папкам должен обрабатываться обычными механизмами безопасности аппарата и / или сети. Если они преодолеют это, не имеет значения, какие ваши артефакты называются - Ur PwNeD.

Answer 2

Хорошей практикой будет держать ваши файлы PHP вне корневого каталога документов вашего веб-сервера.Например, если корнем вашего документа является / var / www, то у вас может быть только один файл index.php, и все, что делает этот файл, это запускает ваше приложение:

set_include_path('/something/besides/var/www');
require_once 'foo.php';
require_once 'bar.php';
do_something();

Таким образом, ваш веб-сервердаже не знает, что файлы PHP существуют, и не может их обслуживать, даже если у вас случайно неправильно настроен .htaccess.

Answer 3

Это безопасность через мрак . Хотя в этом нет никакого вреда, он не дает ничего в плане безопасности.