dedlfix: PHP Webseiten Sicherheit! Angriffe abwehren

Beitrag lesen

Tach!

Was is mit den .htaccess Dateien? Da kannn ich doch einstellen was öffentlich is und was nicht. Insofern stellte das aus meiner Sicht kein Problem dar oder nich?

Njein, damit konfiguriert man nur eine Zugriffsbeschränkung im öffentlichen Teil. Das ist ein Notnagel im Verhältnis zum Gar-nicht-erst-öffentlich-Hinstellen.

Du musst bei diesen Dateien noch dafür sorgen, dass sie kein Upload-Prozess oder ähnlicher Vorgang manipulieren kann. Wenn die .htaccess für die Anwendung schreibbar ist, kann man sie ja ändern. Und wenn das Verzeichnis beschreibbar sein soll (Upload-Verzeichnis), dann ist auch die .htaccess löschbar, denn das ist ein Schreibprozess im Verzeichnis. Ein Read-Only der Datei reicht nicht zum Absichern. Da muss man schon mit anderen nur vom Administrator setzbaren Berechtigungen ankommen, beispielsweise mit chattr +i ein Unveränderlichkeitsattribut setzen.

dedlfix.