¿Qué tan seguro es usar un index.html / index.php en blanco? [duplicar]

Navega tus respuestas
3

Cuando coloca un index.html en blanco en un directorio determinado en un servidor web, los navegadores web no mostrarán una lista de archivos para ese directorio. Pero, ¿es lo suficientemente seguro para otros fines además de evitar la inclusión de archivos? ¿Existen otras formas sencillas para que personas no deseadas muestren la lista de archivos o accedan a los archivos en ese directorio?

Mantengamos el alcance dentro de los "potenciales crackers ocasionales" y los sitios web personales.

Editar: Esta pregunta es similar, pero creo que se trata de acceder a las subcarpetas: ¿Es posible listar carpetas desde mi servidor web si tengo un index.html vacío en la carpeta raíz?

    
pregunta Juha Untinen 08.06.2013 - 15:13
fuente

2 respuestas

5

No hay nada intrínsecamente inseguro sobre el método que describe. Sin embargo, esta no es la forma correcta de evitar la navegación de directorios. Es fácil olvidar agregar un archivo index.html o index.php vacío a los directorios, especialmente si está administrando decenas de directorios.

En su lugar, debe configurar su servidor web de manera apropiada para desactivar la indexación de directorios.

Esto se puede hacer eliminando la directiva Indexes de la línea Options en httpd.conf . Si necesita listar el contenido del directorio para directorios especiales, puede sobrescribirlo en directorios individuales usando el archivo .htaccess .

    
respondido por el Ayrx 08.06.2013 - 15:19
fuente
2

El archivo de índice en blanco es suficiente. Pero la forma correcta de hacerlo sería deshabilitar la indexación de directorios (en el servidor web de Apache lo hace no agregando Indexes a las opciones de vhost).

Esto se debe a que si lo hace en función de cada directorio, es probable que se olvide de hacerlo para todos los directorios que necesita para "proteger". Además, podría sufrir daños si el nombre predeterminado de la página del índice cambia (por ejemplo, de index.html a index.php sin .html fallback), de modo que el directorio ya no tenga más un índice predeterminado.

    
respondido por el LSerni 08.06.2013 - 15:18
fuente

Lea otras preguntas en las etiquetas

Información del agente de usuario del flujo HTTPS ¿Debo usar SSL en mi servidor de base de datos?