Verwendet Apache außer .htaccess und .htpasswd noch andere .ht-Dateien?

Question 1

Tut Apache das? Nein.

Der einzige, der normalerweise verwendet wird, ist .htaccess, aber das liegt wirklich nur an der Standardeinstellung AccessFileName– AccessFileName .htaccessändern Sie diese Konfiguration, und Apache hat keinerlei besonderes Interesse an Dateien, die mit beginnen .ht.

.htpasswdist kein normaler Standard und eigentlich nicht einmal eine gute Idee. Die allgemeine Empfehlung besteht darin, die Authentifizierungsdateien aus Ihrem Webstammverzeichnis herauszuhalten, da es andere Möglichkeiten (Sicherheitslücken bei Remote-Dateieinbindung) gibt, möglicherweise an den Inhalt der Datei zu gelangen und dabei die Zugriffsbeschränkungen von Apache zu umgehen.

Tun es andere Leute? Vielleicht.

Die allgemeine Verwendung von .ht*„Dies ist eine eingeschränkte/unzugängliche Datei irgendeiner Art“ wird von einigen Personen/Inhalten/Webanwendungen erwartet/missbraucht, aus vielen der gleichen Gründe, warum sie .htaccessvon vielen Leuten als der „richtige“ Ort missverstanden wird, um Zugriffskontrollen zu platzieren und Regeln neu zu schreiben,obwohl es nicht dafür gedacht ist. Wenn Sie also das Standardverhalten deaktivieren <Files ~ "^\.ht">(warum sollten Sie dies zum Härten tun?), stellen Sie sicher, dass Ihr Inhalt diese Dateinamenkonvention nicht missbraucht, um Dinge zu verbergen.

Answer

Tut Apache das? Nein.

Der einzige, der normalerweise verwendet wird, ist .htaccess, aber das liegt wirklich nur an der Standardeinstellung AccessFileName– AccessFileName .htaccessändern Sie diese Konfiguration, und Apache hat keinerlei besonderes Interesse an Dateien, die mit beginnen .ht.

.htpasswdist kein normaler Standard und eigentlich nicht einmal eine gute Idee. Die allgemeine Empfehlung besteht darin, die Authentifizierungsdateien aus Ihrem Webstammverzeichnis herauszuhalten, da es andere Möglichkeiten (Sicherheitslücken bei Remote-Dateieinbindung) gibt, möglicherweise an den Inhalt der Datei zu gelangen und dabei die Zugriffsbeschränkungen von Apache zu umgehen.

Tun es andere Leute? Vielleicht.

Die allgemeine Verwendung von .ht*„Dies ist eine eingeschränkte/unzugängliche Datei irgendeiner Art“ wird von einigen Personen/Inhalten/Webanwendungen erwartet/missbraucht, aus vielen der gleichen Gründe, warum sie .htaccessvon vielen Leuten als der „richtige“ Ort missverstanden wird, um Zugriffskontrollen zu platzieren und Regeln neu zu schreiben,obwohl es nicht dafür gedacht ist. Wenn Sie also das Standardverhalten deaktivieren <Files ~ "^\.ht">(warum sollten Sie dies zum Härten tun?), stellen Sie sicher, dass Ihr Inhalt diese Dateinamenkonvention nicht missbraucht, um Dinge zu verbergen.

Question 2

.htaccessist die von Apache verwendete Standardeinstellung AccessFileName. `.htpasswd' ist nichts Besonderes, nur dass die meisten Leute es verwenden, sodass es die ACL erleichtert, den Zugriff darauf zu blockieren. Es gibt keinen Hinweis darauf, dass Sie diese Dateinamen verwenden müssen, und wenn Sie Zugriff auf die Datei httpd.conf haben, sollten Sie sie wirklich überhaupt nicht verwenden, da sie den Zugriff auf die Verzeichnisse verlangsamen. Sie sind gut geeignet, um Personen, die keinen Zugriff auf die Serverkonfiguration haben, den Zugriff zu überschreiben.

Wenn Sie die Standardeinstellungen nicht mithilfe der AccessFileNameDirektive in Ihrer Konfiguration geändert haben und alle Ihre Kennwortdateien .htpasswd genannt haben, sollten die Dotfiles kein Problem darstellen.

Answer

.htaccessist die von Apache verwendete Standardeinstellung AccessFileName. `.htpasswd' ist nichts Besonderes, nur dass die meisten Leute es verwenden, sodass es die ACL erleichtert, den Zugriff darauf zu blockieren. Es gibt keinen Hinweis darauf, dass Sie diese Dateinamen verwenden müssen, und wenn Sie Zugriff auf die Datei httpd.conf haben, sollten Sie sie wirklich überhaupt nicht verwenden, da sie den Zugriff auf die Verzeichnisse verlangsamen. Sie sind gut geeignet, um Personen, die keinen Zugriff auf die Serverkonfiguration haben, den Zugriff zu überschreiben.

Wenn Sie die Standardeinstellungen nicht mithilfe der AccessFileNameDirektive in Ihrer Konfiguration geändert haben und alle Ihre Kennwortdateien .htpasswd genannt haben, sollten die Dotfiles kein Problem darstellen.

Question 3

So können Sie überprüfen, ob Sie eine andere .htaccess-Datei verwenden:core - Apache HTTP Server, außerdem sollte dies von jedem Apache verwendet werden, da es den Zugriff anderer verhindern würde:

#
# The following lines prevent .htaccess and .htpasswd files from being 
# viewed by Web clients. 
#
<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

Answer

So können Sie überprüfen, ob Sie eine andere .htaccess-Datei verwenden:core - Apache HTTP Server, außerdem sollte dies von jedem Apache verwendet werden, da es den Zugriff anderer verhindern würde:

#
# The following lines prevent .htaccess and .htpasswd files from being 
# viewed by Web clients. 
#
<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

Verwendet Apache außer .htaccess und .htpasswd noch andere .ht-Dateien?

Antwort1

Antwort2

Antwort3

verwandte Informationen