.htaccess security

1

No meu arquivo .htaccess, tenho tentado descobrir se devo usar:

Opções Nenhum

que, é claro, desabilitaria todas as opções extras, mas tenho lido opiniões divergentes sobre o uso de "Nenhuma das opções", porque algumas pessoas afirmam que + FollowSymlinks é necessário para melhor segurança e desempenho, enquanto algumas pessoas afirmam que FollowSymlinks é um grande risco de segurança.

Devo usar "Opções Nenhum" para melhorar a segurança?

Obrigado!

    
por Zero 28.10.2010 / 00:20

2 respostas

1

Com a segurança em mente, considere desabilitar o .htaccess todos juntos, a menos que seja necessário em seu site. ( AllowOverride None ) Depois, você pode definir suas opções globalmente na configuração do Apache.

Dito isto, as ligações simbólicas não são necessariamente más, mas é necessário ter uma compreensão clara da sua implementação do Apache. Para um Apache não chroot, os links simbólicos certamente representam um risco significativo para a exposição de arquivos fora da raiz do documento.

    
por 28.10.2010 / 00:30
1

Options None fornece mais segurança porque não há chance de obter acesso fora da raiz do documento por meio de links simbólicos.

Pode ter um efeito marginal no desempenho. Eu teria que verificar, mas não permitindo symlinks apache pode ter lstat cada arquivo para determinar se é um link simbólico primeiro.

Você pode citar essas fontes que afirmam que permitir links simbólicos seria melhor segurança e desempenho?

Editar: no entanto, lembre-se de que a proibição de links simbólicos não é à prova de balas. O manual do apache diz "Omitir esta opção não deve ser considerado uma restrição de segurança, já que o teste do symlink está sujeito a condições de corrida." Ou seja, entre o momento em que lstat diz que não é um link e a hora em que o apache lê, alguém poderia tê-lo transformado em um link.

    
por 28.10.2010 / 00:29