https://www.opennet.ru/openforum/vsluhforumID8/6438.html Доброе время суток все.<br>Это мой первый пост на данном форуме не обессудьте если что не так (правила читал)<br><br><br>Задача:<br>закрыть папку (chmod 777) в которую загружаются аватарки пользователей.<br>(также хочу данный .htaccess применить к папкам с шаблонами, фотками, аттачей и пр)<br><br>Почти целую неделю лазил и выяснял какой необходим .htaccess.<br>К точному занаменателю не пришел.<br>Составил сборку директив в тестовом .htaccess<br><br>Но есть подозрения что есть дубли.<br>Что-то может пойти не так и станет еще хуже (по безопасности)<br><br>Привожу ниже код .htaccess с добавленными детективами.<br>Подскажите пожалуйста что в нем лишнее / что продублировано / что лучше улучшить?<br><br><br>ЛИСТИНГ .htaccess<br>----------------------------------------<br># запрет листинга всех папок и под-папок<br>Options -Indexes<br><br><br>php_flag engine 0<br>AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp<br><br><br># Отключаем PHP.<br>RemoveType php<br><br><br>&lt;IfModule mod_php4.c&gt;<br> php_flag engine 0<br>&lt;/IfModule&gt;<br><br>&lt;IfModule mo https://www.opennet.ru/openforum/vsluhforumID8/6438.html#19 Thu, 16 Jul 2009 21:32:58 GMT &gt;да, обычно - функция.<br><br>Спасибо. Как только начну изучать PHP займусь целю все это "приладить"...<br><br>&gt;с хостером надо дружить и общаться.<br><br> - если я саппорт еще не достал то вполне дружелюбные О:)<br> - попробую им написать<br><br><br> https://www.opennet.ru/openforum/vsluhforumID8/6438.html#18 Wed, 15 Jul 2009 18:15:48 GMT &gt;- я правильно понял "ваша_санитарная_функция" - код который убирает лишнии слеши(переходы) <br>&gt;- небольшая программка-код на PHP находящиеся в движке CMSки? <br><br>да, обычно - функция. Пример можно подсмотреть и украсть тут http://svn.bitflux.ch/repos/public/popoon/trunk/classes/externalinput.php - почти все уязвимости входящих данных класс покрывает.<br><br>&gt; - стоит написать хостеру - поинтересоваться? <br><br>с хостером надо дружить и общаться. Если регулярно платите и в конституции компании есть правило "идти навстречу клиенту" - они идут, в пределах разумного. Но надо понимать, что suhosin лишь грубый и очень частичный механизм, не отменяющий чистку. Просто это способ защиты от дурака, применяемый хостинг-провайдерами. Поэтому он не обязателен, если все входящие данные проходят "санитарную обработку" (и не включен register_globals, a $GLOBALS не используется или тоже обработан).<br><br> https://www.opennet.ru/openforum/vsluhforumID8/6438.html#17 Wed, 15 Jul 2009 16:09:50 GMT Спасибо ! :)<br><br>&gt;***ваша_санитарная_функция*** - должна уметь вырезать всё лишнее - '../', '\\..' и т.п. <br>&gt;(особенно XSS, потому что могут передать www.domen.ru/avatar.php?filename=http://domen2.com) <br><br>- я правильно понял "ваша_санитарная_функция" - код который убирает лишнии слеши(переходы)<br>- небольшая программка-код на PHP находящиеся в движке CMSки?<br><br><br>&gt;зависит от хостера. Массовому хостеру самому резонно его включать <br><br> - стоит написать хостеру - поинтересоваться?<br><br> https://www.opennet.ru/openforum/vsluhforumID8/6438.html#16 Wed, 15 Jul 2009 15:32:19 GMT &gt;Для меня пока заумно - как только разберусь с работой в PHP <br>&gt;так займусь. <br><br>это как раз и есть...<br><br>&gt;Еще мне советовали заливать аватарки в папку выше чем есть / вне <br>&gt;хоста с CMSкой <br><br>Пример.<br><br>Вы - юзер в папке /usr/home/user/<br>www - в папке /usr/home/user/data/www/<br>аватарки - /usr/home/user/data/www/images/avatars/<br>Переснести папку с аватарками в /usr/home/user/avatars<br>+ потом поменять скрипты, чтобы они вызывали что-то вроде<br>www.domen.ru/avatars.php?filename=blablabla <br>+ ну и сделать этот файл /usr/home/user/data/www/avatars.php<br>вида<br>&lt;?php<br><br>if( !isset($_GET['filename']) ) header('Location: http://www.domen.ru');<br>include(санитарный_файл);<br>$file = '/usr/home/user/data/www/images/avatars/' + ***ваша_санитарная_функция***($_GET['filename']);<br>if( file_exists($file) ){<br> *** тут вывести заголовки, в зависимости от поддерживаемый форматов и расширения файла (типа header('Content-type: image/jpeg');)<br> echo file_get_contents($file);<br>}<br>else header('Location: http://www.domen.ru');<br>?&gt;<br>***ваш https://www.opennet.ru/openforum/vsluhforumID8/6438.html#15 Wed, 15 Jul 2009 13:30:03 GMT &gt;задача в корне неверная. Я бы поставил её так: обезопасить сервер от <br>&gt;возможных дырок с использованием аватарок. <br><br>Аватарка как пример.<br>Вообще хотелось обезопасить сайт от всего что могут залить в папку с chmod 777 :)<br><br><br>&gt;Можно убрать директорию с аватарками вообще из веба, а места вызова аватарок (в шаблонах и коде) заменить на /avatar.php?f=filename и сделать этот apavatar.php на подобие одного из вариантов: createimagefromjpg/gif -&gt; imagejpg -&gt; exit; или просто echo filegetcontents<br><br>Для меня пока заумно - как только разберусь с работой в PHP так займусь.<br>Спасибо.<br>Еще мне советовали заливать аватарки в папку выше чем есть / вне хоста с CMSкой<br> - но тоже пока не дорос.<br><br><br>&gt;Почему я советую suhosin?<br><br>Эх.. хостинг не мой. Но спасибо :)<br>А может быть что у хостера(курпного) такая штука уже поставленна?<br> <br><br><br> https://www.opennet.ru/openforum/vsluhforumID8/6438.html#14 Wed, 15 Jul 2009 07:23:24 GMT &gt;Задача: <br>&gt;закрыть папку (chmod 777) в которую загружаются аватарки пользователей. <br>&gt;(также хочу данный .htaccess применить к папкам с шаблонами, фотками, аттачей и <br>&gt;пр) <br><br>задача в корне неверная. Я бы поставил её так: обезопасить сервер от возможных дырок с использованием аватарок.<br><br>Можно убрать директорию с аватарками вообще из веба, а места вызова аватарок (в шаблонах и коде) заменить на /avatar.php?f=filename и сделать этот apavatar.php на подобие одного из вариантов: createimagefromjpg/gif -&gt; imagejpg -&gt; exit; или просто echo filegetcontents<br><br>Локализовав таким образом проблему, поставив suhosin (под freebsd 3 комманды включая перезагрузку апача) и выжигая из параметров avatar.php всякую нечисть вы НЕ будете постоянно дёргать апач и избавитесь от левых инклудов, даже в том случае, если есть где-то дырки в другом месте. Если что-то левое и будет залито (как? по-нормальному проверяются размеры картинок и если они нулевые (будет эксепшн или размер нуль при загрузке файлов, отличных и картинок)) то н https://www.opennet.ru/openforum/vsluhforumID8/6438.html#13 Mon, 13 Jul 2009 16:11:00 GMT &gt; - тоесть PHP будет отображена как статичная html? <br><br>Нет не будет ибо это была бы его обработка, будет обычная загрузка файла. Который раз уже в этом треде повторяю: посмотрите сами, это быстрее чем спрашивать на форуме. <br> https://www.opennet.ru/openforum/vsluhforumID8/6438.html#12 Mon, 13 Jul 2009 14:49:41 GMT &gt;обрабатывать как статику(встроенный default-handler). <br><br> - тоесть PHP будет отображена как статичная html?<br><br>Спасибо за подробное описание! - теперь все понял<br><br>А по поводу анг/русс - русский перевод на http://httpd.apache.org/ местами очень страдает :)<br><br><br> https://www.opennet.ru/openforum/vsluhforumID8/6438.html#11 Mon, 13 Jul 2009 14:20:12 GMT http://httpd.apache.org/docs/2.2/handler.html<br>ну или на русском, если не заметили "Available Languages: en &#124; es &#124; fr &#124; ja &#124; ko &#124; ru &#124; tr"<br>http://httpd.apache.org/docs/2.2/ru/handler.html<br><br>mod_php добавляет свой собственный обработчик(handler) и при правильной конфигурации апача этот обработчик связывается с определенными типами файлов при помощи AddHandler. Вместо AddHandler, работающего по расширениям файлов, можно использовать SetHandler, который заставляет применять указанный обработчик для все файлов в блоке(Directory, Location, Files, .htaccess), независимо от расширения и установленных ранее обработчиков. Строчка, приведенная мной, заставляет все файлы в каталоге(и его подкаталогах, .htaccess рекурсивны) обрабатывать как статику(встроенный default-handler).<br>