¿Está bien colocar .htpasswd en el directorio protegido si solo hay un usuario?

5

Estoy configurando un directorio en un servidor Apache protegido con mod_authn_file. Los documentos para AuthUserFile dicen no colocar el archivo .htpasswd en el directorio protegido:

  

Asegúrese de que AuthUserFile esté almacenado fuera del árbol de documentos del servidor web. No lo pongas en el directorio que protege. De lo contrario, los clientes pueden descargar el AuthUserFile.

No me queda claro exactamente lo que esto significa. ¿Solo los usuarios autorizados pueden descargarlo o existe el riesgo de que otros usuarios también tengan acceso?

El directorio que estoy protegiendo solo tendrá un usuario autorizado. Él ya sabe su nombre de usuario y contraseña. ¿Hay alguna razón para no mantener el archivo .htpasswd en el directorio protegido justo al lado de .htaccess?

    
pregunta Robert 19.11.2015 - 03:41
fuente

1 respuesta

2

Por defecto, se supone que Apache deniega el acceso a los archivos .htaccess y .htpasswd. Por alguna extraña razón, tienes la capacidad de desactivarlo (accidentalmente o no) en tu configuración. Si ha deshabilitado esta protección de alguna manera (o si, por alguna razón, no se configuró en primer lugar), cualquier atacante malicioso podría explotar esto para descargar el archivo .htpasswd.

Normalmente, la sugerencia es tener el archivo fuera de su directorio web, evitando que se le sirva a un usuario, mientras le da acceso a Apache.

    
respondido por el Chase Haddleton 19.11.2015 - 05:42
fuente

Lea otras preguntas en las etiquetas