¿Está limitando el acceso a un script web con .htaccess lo suficientemente seguro cuando ese script puede ejecutar comandos arbitrarios?

4

Bueno, no tengo mucha experiencia con HTML, pero recientemente comencé a trabajar en un proyecto con un grupo de personas que involucra la manipulación regular de archivos en un servidor web. Me gustaría trabajar en este proyecto cuando trabajo algunas veces, pero no se recomienda el uso de la conexión remota.

Pensé que podría escribir un programa que pudiera imitar un entorno ssh y permitirme ingresar comandos / ver sus resultados e incluso editar archivos. Creo que esto solo me daría acceso a los archivos en el directorio www, pero está bien.

Aseguraría el programa a través de .htaccess

¿Cuáles son las fallas con este enfoque? ¿Hay una mejor manera de hacer este trabajo? ¿Debo intentarlo?

¿Es cierto que .htaccess envía la contraseña a través de texto sin formato?

si es así, ¿cuáles son los otros lados abajo? No espero que nadie esté olfateando aquí.

    
pregunta Luke 25.09.2014 - 05:21
fuente

1 respuesta

1

Lo mejor que puedes hacer es usar una conexión ssh para trabajar con esos archivos.

Si esa no es una opción, debes intentar hacerlo posible.

Si ssh realmente no es posible, debes verificar lo siguiente:

  • use https con un certificado válido (¡sin esa contraseña se enviará como texto sin formato!)
  • tu .htaccess usa una contraseña segura (de lo contrario, podría ser forzado) [...]
  • usa un editor sólido (no algo que escribiste tú mismo)
  • verifique los permisos de los archivos y asegúrese de que solo pueda acceder al archivo que realmente necesita

Si uno de los puntos anteriores no se cumple, simplemente no debes hacer esto.

    
respondido por el PiTheNumber 26.09.2014 - 09:26
fuente

Lea otras preguntas en las etiquetas