it-swarm.com.de

Joomla-Sicherheit - Fingerabdruckangriffe mit htaccess

Ich habe mit meiner htaccess-Datei gespielt, um Joomla besser abzusichern, aber ich bleibe bei diesem Beispiel ( Referenz ):

## Referrer filtering for common media files. Replace with your own domain name.
## This blocks most common fingerprinting attacks ;)
## Note: Change www\.example\.com with your own domain name, substituting the
## dots with \.  i.e. use www\.example\.com for www.example.com
RewriteRule ^images/stories/([^/]+/)*([^/.]+\.)+(jp(e?g|2)?|png|gif|bmp|css|js|swf|ico)$ - [L]
RewriteCond %{HTTP_REFERER} .
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?example\.com [NC]
RewriteCond %{REQUEST_FILENAME} -f
RewriteRule \.(jp(e?g|2)?|png|gif|bmp|css|js|swf|ico)$ - [F]

Ich habe dieses Beispiel als Test hinzugefügt und es bringt meine Site durcheinander (offensichtlich wird example.com durch meine Site ersetzt). Ich glaube, ich bin mir nicht sicher, was das eigentlich macht. images/stories/ existiert nicht auf meinem Server

Ich benutze Joomla 2.5

1
Tom

Zunächst einmal bin ich kein Experte in der Verwendung von .htaccess.

Mit dem von Ihnen veröffentlichten Code kann niemand einen Hotlink zu Ihrem Inhalt erstellen. Die einzige Ausnahme wird in der folgenden Zeile definiert:

RewriteRule ^images/stories/([^/]+/)*([^/.]+\.)+(jp(e?g|2)?|png|gif|bmp|css|js|swf|ico)$ - [L]

Die Zeile RewriteCond %{HTTP_REFERER} !^https?://(www\.)?example\.com [NC] definiert die Domain, die auf Inhalte zugreifen darf. Daher kann Joomla aufgrund eines kleinen Fehlers keine CSS, JS, Bilder usw. aus anderen Verzeichnissen laden. Sie sollten dies noch einmal überprüfen.

Sie können auch Zeile 5 durch Folgendes ersetzen:

RewriteRule ^((components|modules|templates|images|plugins|media)/.*\.(jpe|jpg|jpeg|jp2|jpe2|png|gif|bmp|css|js|swf|html|mpg|mp3|mpeg|mp4|avi|wav|ogg|ogv|xls|xlsx|doc|docx|ppt|pptx|Zip|rar|pdf|xps|txt|7z|svg|odt|ods|odp|flv|mov|ico|htm))$ $1 [L]

Ich habe ein paar zusätzliche Informationen gefunden hier :

Wenn Sie die Validierung von HTTP-Verweisen deaktivieren möchten, sollten Sie konsistent sein und dies auf der gesamten Website tun, um schwer zu verfolgende Probleme zu vermeiden. Außerdem bietet diese Funktion nur einen begrenzten Schutz vor Fingerabdruckangriffen (d. H. Hacker versuchen, unter dem Radar zu fliegen, um herauszufinden, welche Joomla! -Version Sie verwenden).

Grundsätzlich kann das von Ihnen verwendete Code-Snippet mehr Probleme verursachen, als es wert ist.

4
johanpw