El .htaccess en nuestra aplicación tiene 777 permisos porque una aplicación hermana necesita escribir en ella. ¿Podría confirmar que htaccess con 777 permisos es malo para la seguridad y, de ser así, cuál sería una alternativa más segura?
Estaba pensando si la aplicación hermana (ubicada en el mismo servidor) cambia los permisos antes de editarla y luego los vuelve a cambiar.
Sí, XX7 es muy malo para la seguridad, da acceso de lectura, escritura y ejecución a todos los usuarios y debe evitarse a menos que sea absolutamente necesario. Un usuario malintencionado podría usar el archivo .htaccess para obtener un archivo sensible o malintencionado que sea visible para la interfaz web. Luego, utilizando el usuario de la interfaz web (que puede tener privilegios elevados), el actor malintencionado podría realizar acciones en ese contexto.
Si puede obtener la aplicación hermana y el archivo .htaccess para tener el mismo propietario / corredor, entonces 700 debería funcionar; de lo contrario, intente incluirlos en el mismo grupo y tenga 770.
Obviamente, mientras más usuarios tengan acceso de escritura a un archivo, menos seguro será.
Si se requiere algún nivel de acceso (> 0) para .htaccess, considere:
Para el archivo htaccess, solo necesita derechos de lectura (400 si el usuario es el propietario) para el usuario, el propietario del proceso, que accede a este archivo (apache, http, etc.). Cualquier cosa más abrirá un agujero de seguridad, lo que permite la escritura (no es necesario ni siquiera para el usuario), lo que creará reglas de reescritura (o eliminará algunas) del usuario de este servidor.
Lea otras preguntas en las etiquetas apache permissions