Комментарии к статье ""
| 11.12.2001 08:19 DiMA [] Хм, тут ни слова нет о действительно важных проблемах. Где линки на русский ман по апачу? Все это и более того можно прочитать в формате документации на русском языке. 1. Важная проблема - Location и его скрытая угроза в безопасности. Товарищ, спец по безопасности, я хотел бы услышать комментарии, если не затруднит. Хотя тут вообще ни слова о Location. Такая команда есть, 100% :) 2. Не решённая хотя бы для меня лично проблема - как в DIRECTORY писать локальный путь от DOCUMENT_ROOT? Вот ответите, как это сделать, спасибо скажу. Типа написать нечто такое: ... Вот это чушь: AddType application/x-httpd-php .html Если у нас нет какого-то модуля, из-за которого AddType будет не выполнен, то получиться, что PHP программы станут простыми текстовыми файлами и станут доступны для скачивания. Это как бы сделать ошибку, влекущую следующие ошибки. А если апач из-за первой ошибки свалится, то так ему и надо. Зато пхп код на месте. |
| 12.12.2001 05:58 DVA Ммм.. а можно положить этот код в файл, доступный для скачивания ? |
| 13.12.2001 04:27 Шурик [] АddType совсем не чушь. Очень помогает от дураков хакеров. А чтобы не были твои пхп и другие файлы доступны для скачивания отредактируй .htaccess файл. И ничего не будет доступно. Options -Indexes вполне решает эту проблему. |
| 13.12.2001 15:28 Роман Яцевич [] Действительно - тут нет про террористов, про курс доллара, про морозы и т.д. А ведь это такие серьёзные и Важные проблемы! Кстати, а действительно: "Где линки на русский ман?". В том то и проблема - что там можно прочитать ВСЁ! И это ВСЁ нужно единицам! Я же предлагаю один из реальных и проверенных вариантов решений с "виртуальными" директориями... Не более и не менее... 1. Зачем рассказывать как "бороться" с дырой в безопасности при использовании Location, если её(директиву :) можно просто не использовать! Убедите меня (и читателей) хотя бы парой-тройкой аргументов, что без Location нельзя жить - и, возможно, комментарии появятся на данной странице. 2. Насколько я понимаю - подобного механизма в официальной поставке просто нет. Но буду рад ошибиться... :( Про "чушь": Насколько я понимаю Вы про расширение .html. Ну, для начала я не понимаю, причем здесь само расширение? Положите файл .php на сервер с отключенным PHP и вы получите то же самое! А вот для решения той проблемы, которую Вы описали, я предлагаю серию действий, и все они описаны в статье (Вы просто невнимательно читали): а) Вынести весь PHP-код за пределы DOCUMENT_ROOT. Исполнение кода осуществляется выполнением include(нужный_файл) из единственного index.html файла доступного из DOCUMENT_ROOT. Конечно это не догма - возможны несколько точек входа, но это детали - главное, что в пределах DOCUMENT_ROOT находятся только "оболочки", которые вызывают нужный код из недр сервера, которые недоступны по HTTP. б) Даже если, по каким либо причинам, реальный PHP-код временно находится в пределах DOCUMENT_ROOT, я предлагаю названия всех файлов, которые хочется спрятать от посторонних глаз, начинать с ".", а Apache настроить на то, чтобы он такие файлы не отдавал пользователю ни при каких условиях (см. второе правило в настройке Rewrite). |
