it-swarm.com.de

Sind Dateien in einem versteckten Verzeichnis sicher?

Ich habe ein Verzeichnis auf dem Webserver meines Internetdienstanbieters. Ich möchte nicht, dass Benutzer Dateien in diesem Verzeichnis sehen. Daher habe ich eine index.html-Datei, um Benutzer auf meine Hauptseite umzuleiten. Ich frage mich, ob noch jemand ein Programm schreiben kann und Verwenden Sie http oder andere Protokolle, um die darin enthaltenen Dateien aufzulisten? Ich weiß, dass sie keine Browser verwenden können, um auf diese Dateien zuzugreifen.

Bearbeiten [Spezieller]:

Die dir sehen so aus:

index.html [ redirect to main page ]
1z3n67xzs.dus
s737er.pds
rijvnjdfjndf.oef
Dir_Deeper_Hidden_1 [ a directory ]
Dir_Deeper_Hidden_2 [ a directory ]

Diese Dateien und Verzeichnisse werden nirgendwo anders erwähnt, ich bin der einzige, der die Namen dieser Dateien und Verzeichnisse kennt, können Benutzer noch auflisten ?

4
Frank

Wenn der Webserver und/oder die Berechtigungen nicht richtig eingerichtet sind, können sie mit einem Webbrowser auf die Dateien zugreifen . Jeder, der die Namen der Dateien im Verzeichnis kennt (oder errät), kann sie problemlos abrufen. index.html blendet nur die Verzeichnisliste aus, und dasselbe kann durch Deaktivieren der Verzeichnisindizes für dieses Verzeichnis erreicht werden.

In einer .htaccess-Datei können Sie dies wie folgt tun

Options -Indexes

Wenn Sie nicht möchten, dass zufällige Fremde auf das Verzeichnis oder die darin enthaltenen Dateien zugreifen, können Sie den Webserver anweisen, eine Authentifizierung für dieses Verzeichnis zu verlangen.

AuthType basic
AuthName Private
AuthUserFile /path/to/htpasswd
Require valid-user

und richten Sie eine "htpasswd" -Datei ein, die die Namen und Kennwörter der Benutzer enthält, die Sie zulassen möchten.

Für IIS ist es etwas einfacher, wenn Sie Administratorzugriff auf den Server haben (und insbesondere, wenn FrontPage-Servererweiterungen installiert sind). Legen Sie einfach die Berechtigungen für das Verzeichnis fest.

5
cHao

Sie könnten auf die Dateien in einem Webbrowser oder einem anderen HTTP-Client zugreifen, entweder durch Brute-Force-Angriffe auf Dateinamen oder wahrscheinlicher, weil die URL einer der Seiten durchgesickert ist. Dies passiert normalerweise, wenn ein Link oder ein Bild auf einer der Seiten zu einem anderen Server führt und eine Referrer-URL übergibt. Es ist nur ein Server- (oder Proxy-) Protokoll erforderlich, um die URL öffentlich zu machen, und sie kann von Google problemlos gefunden werden.

Die Verschleierung von URLs ist kein guter Weg, um vertrauliche Informationen zu schützen. Wenn die Seiten nur von autorisierten Benutzern angezeigt werden sollen, implementieren Sie ein Authentifizierungsschema wie die HTTP-Basisauthentifizierung (z. B. über .htaccess). Wenn sie nicht über das Web angezeigt werden sollen, bewahren Sie sie in einem Verzeichnis außerhalb des Webstamms auf.

4
bobince

Nein, sie sind nicht sicher. Der Server sollte so konfiguriert sein, dass er den Inhalt eines Ordners nicht über http auflistet und nur Dateien mit bestimmten Erweiterungen bereitstellt. HTML, asp, aspx, png usw. sind in Ordnung, aber beispielsweise .config nicht. Wenn Ihr Provider den Server nicht auf diese Weise konfiguriert, suchen Sie einen neuen.

1
David Lively