Alguém pode detectar arquivos no diretório www (nginx)?

Existem diferentes ferramentas que podem verificar seu site usando uma lista (ou listas) de arquivos / pastas populares. Se você quiser manter esses arquivos privados, mas ainda acessíveis a alguém, você pode:

1. Nomeie-os excepcionalmente (você pode simplesmente usar um hash do arquivo como o nome do arquivo, que levaria anos para adivinhar o nome)
2. Restringir o acesso a arquivos / pastas usando a autenticação HTTP.
3. Coloque-os fora de sua pasta raiz (por exemplo, em /var/www/private/ ) e escreva uma página simples que lerá o arquivo (você ainda pode adicionar auth e tudo, por exemplo, whitelisting IP) em seu idioma favorito (Ruby, PHP, NodeJS , Python, Go, etc.)

Eu iria com o segundo. Consulte a documentação do nginx para saber como configurá-lo.

É muito insegura para os dados da esquerda apenas por trás de index.html . Muitas ferramentas são projetadas para pesquisar esses arquivos. Nomeados para essas ferramentas são URL fuzzer . Você tem a versão on-line aqui .

  

O URL Fuzzer usa uma lista de palavras personalizada para descobrir oculto   arquivos e diretórios. A lista de palavras contém mais de 1000   nomes de arquivos e diretórios conhecidos. Para cada PALAVRA na lista de palavras,   ele fará uma solicitação HTTP para: Base_URL / WORD / ou   Base_URL / WORD.EXT no caso de você escolher peneirar uma certa EXTension.

Editar 1

Meybe "atrás" não é a melhor expressão. Você pode criar uma pasta adicional na pasta DokumentRoot no seu site e protegê-la com .htaccess . Configuração de .htaccess você pode encontrar aqui . Você receberá uma pasta com proteção de nome de usuário / senha.