Por que “Opções inclui índices” ativada por padrão no Apache?

Question

Por que “Opções inclui índices” ativada por padrão no Apache?

#1 resposta do (4 votos)

2

Eu estava curioso para saber porque o Options Includes Indexes é geralmente ativado por padrão nas configurações do Apache.

Alguém sabe por que isso acontece, como geralmente é desaprovado por razões de segurança?

security apache-2.2 indexes directory-listing

por nojak 16.08.2012 / 18:34

1 resposta

Tags security apache-2.2 indexes directory-listing

Alto uso da CPU resultando em falha do servidor shell script linux: como mover todas as subpastas com um nome dado?

score 4 · Accepted Answer

Tradição?
Porque sempre foi assim?
Porque o projeto Apache não quer quebrar sites existentes?
Porque você realmente deveria estar revisando sua configuração antes de iniciar o servidor?

Todas as opções acima.

Algumas notas sobre as diretivas em questão

Inclui no lado do servidor ( Includes ) são geralmente desaprovados, principalmente porque há maneiras melhores de gerar conteúdo dinâmico nos dias de hoje. Se nenhum conteúdo do seu servidor os usar, você não terá exposição real ao risco de segurança. A melhor prática é desativá-los caso alguém consiga comprometer sua máquina e carregue uma página que os use para fazer algo desagradável.

A diretiva Includes nua com a qual o Apache vem é particularmente ruim a esse respeito, pois permite que você execute programas (como o usuário Apache) como parte das diretivas SSI. Se você PRECISA ter as inclusões do lado do servidor ativadas, avalie se precisa executar os programas e, caso contrário, use IncludesNOEXEC no lugar da diretiva Includes nua.

Geração automática de índice ( Indexes ) é uma vulnerabilidade de divulgação de informações: Se não houver arquivo de índice, o servidor listará tudo no diretório (incluindo um link para .. para permitir Navegue de volta até a árvore).
Por causa do link de navegação no diretório, há também o risco de que um servidor mal configurado permita que os usuários naveguem para fora da raiz da Web e leiam algo sensível como /etc/passwd .

Ter o Indexes ativado não é realmente um grande risco de segurança se o servidor estiver configurado corretamente (sem informações confidenciais na raiz da Web, sem a capacidade de navegar pelo caminho fora do web root), e isso pode ser ótimo para servidores de arquivos (você não precisa manter um índice manualmente), mas se você não precisa gerar índices automáticos para desativá-lo, provavelmente é uma boa idéia.

Não confie nisto como "segurança através da obscuridade" para protegê-lo se o seu servidor da Web estiver mal configurado: alguém ainda pode fazer http://example.com/../../../../../../../../etc/passwd em um sistema com opções de configuração adequadamente ruins.