Blog 2021 2022 2023 2024

Biztonság az Interneten 4. rész - Tárhelyünk védelme
2013. február 25. Hétfő

Talán mindenki tárol olyan információkat weblapján, melyet nem szeretne minden látogatónak megjeleníteni, legyenek azok képek, dokumentumok, vagy akármi más.

Elsőre a laikus ember ilyenkor létrehoz a tárhelyen egy külön könyvtárat, amire nem mutat weblapján link, és felmásolja ide ezeket az adatokat. Látszólag minden rendben is van. De mi is ezzel a probléma?

A probléma az, hogy ha valaki a könyvtár nevére rájön, és beírja böngészőjébe, azonnal listázza a webszerver a teljes könyvtárszerkezetet!

Nézzünk egy példát! Legyen domain nevünk a turbotarhely.hu, itt szeretnénk zenéket tárolni saját felhasználásra. Így tehát nyitunk egy új mappát: zene, és felmásolok rá mindent. Nem mutat rá egy hivatkozás sem, tehát nyugodtan hátradőlünk. Igen ám, de valaki rájön, hogy van itt egy ilyen nevű mappa, tehát beírja a böngészőbe:

https://turbotarhely.hu/zene/

Az eredmény magáért beszél:

Index of /zene

[ICO]NameLast modifiedSizeDescription

[DIR] Parent Directory -
[SND] proba hang.wma 21-Feb-2013 10:22 40K

Apache/2.2.16 (Debian) Server at turbotarhely.hu Port 443

Rákattintva a fájlra pedig már le is töltötte azt.


De mi a megoldás?

A megoldás a könyvtárak védelmében rejlik. A webszerver alapvetően, mikor egy könyvtár kérés érkezik, először is "megnézi", hogy van-e benne alapértelmezett weblap, tehát index.htm, index,html, index.php, stb fájl. Ha van, akkor annak tartalmát lefordítva átadja a kérőnek. Ha nincs, akkor pedig kilistázza a tartalmát.

Ezt a listázást lehet felülbírálni a .htaccess fájl segítségével.

A .htaccess állományt a következő dolgokra tudjuk használni:

- könyvtár és fájl védelem
- honlap átirányítás
- látogatók szabályozása, pl IP tiltás...
- és még sok egyéb dologra:)

Minket most a könyvtárvédelem érdekel, tehát nézzük meg, mit kell tennünk, ha azt szeretnénk, hogy ne listázza a webszerver a fájlokat!
Az adott, védeni kívánt mappába hozzunk létre egy .htaccess állományt (vigyázz, a pont legyen a fájl nevének elején!), melynek tartalma:

Options -Indexes


Ezzel meg is volnánk. Természetesen sokkal bonyolultabb dolgokat is meg tudunk oldani, pl a következő kód csak az mp3 fájlokat nem fogja listázni
IndexIgnore *.mp3

Illetve jelszóval is védhetjük ezt a listázást:
AuthName "Protected Area"
AuthType Basic
AuthUserFile public_html/turbotarhely.hu/zene/.htpasswd
require valid-user

A.htpasswd tartalma pedig:
Felhasznaloinev:jelszo

Természetesen nem mindenki születik programozónak, ezért nem is kell megtanulni ezeket a parancsokat, ha a webszerveren olyan vezérlőpult fut, mint például a cpanel (turbotarhely webszerverünkön is az fut). Ekkor elég bejelentkezés után a "Biztonság" dobozban megkeresnünk a "könyvtárak jelszavas védelme" parancsot, ahol a fenti beállításokat grafikus felületen tehetjük meg!

Jó munkát!

Vissza

Hozzászólás
Jelenleg nem érkezett hozzászólás. Legyen Ön az első:

A hozzászóláshoz jelentkezzen be.