Deshabilitar la búsqueda de directorios usando el archivo htaccess de Apache

Navega tus respuestas
2

TL; DR

  • ¿Cuáles son los riesgos y los inconvenientes asociados con permitir que Options -Indexes funcione en archivos .htaccess arbitrarios en un servidor web Apache compartido?

Contexto

  • configuración del servidor web Apache
  • host RHEL de Linux

Fondo

Trevor está utilizando un entorno de alojamiento compartido en el que no tiene acceso para cambiar la configuración de apache httpd.conf. Como una solución para esta limitación, intentó usar los Índices de Opciones en un archivo .htacess local para evitar la navegación en el directorio, como se especifica en esta publicación semicinente: carpeta y permiso de archivos compartidos consejos de host (me refiero a la respuesta aceptada)

Problema

Paraestehostenparticular,estaconfiguracióndevuelveunerrordeconfiguracióndeApache.

ResultaqueeladministradordelsistemaparaestehostenparticulardeshabilitóladirectivaOptions,demodoquenofuncionadentrodelosarchivos.htaccess,yesaeslafuentedelosproblemasdeTrevor.

Preguntas

  • ATrevorlegustaríasaberquériesgosespecíficossepretendíanminimizaralnopermitirqueOptions-Indexesfuncioneenarchivos.htaccessarbitrariosenelhostwebcompartido.¿Estabaeladministradordelsistemademasiadoparanoico,ohuborealmenteunvectordeataqueespecíficocerradoporesteenfoque?

  • ¿Quétareasalternativasdemitigaciónderiesgosestándisponibles,ademásdeagregarunindex.htmlacadasubdirectorio?

Vertambién

  • ¿Es posible listar una carpeta desde mi servidor web si tengo un index.html vacío en la carpeta raíz?
pregunta dreftymac 20.09.2015 - 11:15
fuente

2 respuestas

2

Permitir Indexes no solo permite deshabilitarlos, sino que también permite un poco de otras opciones lo que podría aumentar la superficie de ataque.

Además, solo establecer AllowOverride en cualquier cosa, pero None tiene una penalización de rendimiento, ya que Apache ahora busca .htaccess archivos en cada directorio de la ruta del archivo solicitado.

    
respondido por el André Borie 20.09.2015 - 14:59
fuente
2

Otra solución común es colocar un index.php en cada carpeta, con solo un comentario, por ejemplo: el silencio es oro ... Cada instalación de WordPress se realiza de esta manera.

Como señaló @Pinoniq, esta solución asumirá que index.php se especifica como su preferencia de archivo de índice.

enlace

    
respondido por el Jacob Evans 20.09.2015 - 16:18
fuente

Lea otras preguntas en las etiquetas

firma RSA en TLS Diferencias entre la Variable de Cookie y la Sesión a los datos confidenciales