it-swarm.com.de

Verzeichnisliste erzwingen, auch wenn index.html vorhanden ist

Ich habe einige Dateien in meinem/www/-Verzeichnis. Stimmt es, dass durch einfaches Einfügen einer index.html in dieses Verzeichnis die restlichen Dateien jetzt "vor der Öffentlichkeit geschützt" sind? Könnte ein externer Hacker immer noch die Auflistung von Verzeichnissen erzwingen oder Zugriff auf diese Dateien erhalten? Wie würden sie es tun, wenn es möglich wäre?

Ich bin mir der Möglichkeiten bewusst, mein Dateisystem sicherer zu machen, aber ich habe mich gefragt, inwieweit nur das Setzen einer Indexdatei den Schutz von Dateien/Verzeichnissen gewährleistet.

5
dukevin

Wenn Sie Apache verwenden und eine Indexdatei angegeben haben (die vorhanden ist), kann Apache nicht dazu verleitet werden, die Indexdatei nicht zu verwenden. Es wird einfach einen 404 verursachen.

Einige Frameworks fügen in jedes einzelne Verzeichnis eine index.php -Datei mit so wenig Inhalt wie folgt ein:

<?php
// silence is golden
?>

Der einfache Grund, um eine Datei tatsächlich zu platzieren, ist, dass, obwohl die meisten (95%) Webserver außerhalb von Apache sind, es einige gibt, die nicht vorhanden sind. Einige von diesen unterstützen keine .htaccess-Einstellungen, mit denen häufig die Auflistung von Verzeichnissen verweigert wird.

Die angezeigte Verzeichnisansicht wird höchstwahrscheinlich durch die Option option Indexes auf Ihrer Website verursacht und kann leicht deaktiviert werden, indem Sie sie vollständig entfernen oder eine .htaccess -Datei mit folgendem Inhalt erstellen:

Options -Indexes
8
Jan Dragsbaek