Rolfs Vorschlag passt (soweit)
bearbeitet von Raketenwilli> warum nicht gleich richtig? Ohne einen Passwortschutz ist das alles reichlich sinnlos,
Sehen wir mal, [was Rolf gezeigt hat](https://forum.selfhtml.org/self/2022/jul/09/bilder-und-suchmaschinen/1800370#m1800370):
**1. Verteidungslinie:** Ordner und Bilder **NIRGENDWO** verlinken oder auch nur nennen **UND** klassische, erratbare Ordnernamen vermeiden (statt dessen zufälliger Name)
**2. Verteidungslinie:** In der .htaccess einen Alias setzen, welche Zugriffe via HTTP auf eben diesen Ordner auf einen nicht existenten Ordner verweist.
Test:
~~~apache,bad
Alias "/foo" "/bar"
~~~
Hierzu sagt mein Apache via error.log:
~~~
/var/www/test/.htaccess: Alias not allowed here
~~~
Einem Angreifer wird verraten, dass das Verzeichnis wahrscheinlich(sic!) existiert. Meiden.
Aber ein Rewrite geht und ist „Alias genug“:
~~~apache,good
RewriteEngine On
RewriteRule "^guuvzvtUZT345u56JhGjuUr86/.*$" "/fake404.html" [R=404, L]
~~~
Freilich muss der Hoster dazu mod_rewrite erlauben...
Alternative:
~~~apache,bad
chmod a-rwx .htaccess
~~~
Das Verzeichnis wird unbenutzbar, aber der „Angreifer“ bekommt verpetzt, dass das Verzeichnis existiert. Meiden.
**3. Verteidungslinie:** Deine Idee mit dem Passwortschutz sollte, so Rolf, zusätzlich aufgegriffen werden. (Das ist dann die Dritte Verteidigungslinie)
Klar ist, dass das all dieses die zweitbeste Lösung ist, aber die beste (Ordner außerhalb von Dokument-Root) geht halt nicht.
Ergänzend zur 1. Verteidigungsline: Nichts ist dümmer als das Verzeichnis in einer robots.txt zu nennen oder sonstwie darum zu bitten, dieses nicht zu öffenen. Da kann man auch eine Bank eröffnen, im Kundenbereich einen Taster installieren und daneben ein Schild aufstellen: *„Diesen Knopf nicht drücken, sonst geht der Tresor auf und nicht wieder zu.“*
Rolfs Vorschlag passt (soweit)
bearbeitet von Raketenwilli> warum nicht gleich richtig? Ohne einen Passwortschutz ist das alles reichlich sinnlos,
Sehen wir mal, [was Rolf gezeigt hat](https://forum.selfhtml.org/self/2022/jul/09/bilder-und-suchmaschinen/1800370#m1800370):
**1. Verteidungslinie:** Ordner und Bilder nirgendwo verlinken und klassische, erratbare Ordnernamen vermeiden (statt dessen zufälliger Name)
**2. Verteidungslinie:** In der .htaccess einen Alias setzen, welche Zugriffe via HTTP auf eben diesen Ordner auf einen nicht existenten Ordner verweist.
Test:
~~~apache,bad
Alias "/foo" "/bar"
~~~
Hierzu sagt mein Apache via error.log:
~~~
/var/www/test/.htaccess: Alias not allowed here
~~~
Einem Angreifer wird verraten, dass das Verzeichnis wahrscheinlich(sic!) existiert. Meiden.
Aber ein Rewrite geht und ist „Alias genug“:
~~~apache,good
RewriteEngine On
RewriteRule "^guuvzvtUZT345u56JhGjuUr86/.*$" "/fake404.html" [R=404, L]
~~~
Freilich muss der Hoster dazu mod_rewrite erlauben...
Alternative:
~~~apache,bad
chmod a-rwx .htaccess
~~~
Das Verzeichnis wird unbenutzbar, aber der „Angreifer“ bekommt verpetzt, dass das Verzeichnis existiert. Meiden.
**3. Verteidungslinie:** Deine Idee mit dem Passwortschutz sollte, so Rolf, zusätzlich aufgegriffen werden. (Das ist dann die Dritte Verteidigungslinie)
Klar ist, dass das all dieses die zweitbeste Lösung ist, aber die beste (Ordner außerhalb von Dokument-Root) geht halt nicht.
Ergänzend zur 1. Verteidigungsline: Nichts ist dümmer als das Verzeichnis in einer robots.txt zu nennen oder sonstwie darum zu bitten, dieses nicht zu öffenen. Da kann man auch eine Bank eröffnen, im Kundenbereich einen Taster installieren und daneben ein Schild aufstellen: *„Diesen Knopf nicht drücken, sonst geht der Tresor auf und nicht wieder zu.“*
Rolfs Vorschlag passt (soweit)
bearbeitet von Raketenwilli> warum nicht gleich richtig? Ohne einen Passwortschutz ist das alles reichlich sinnlos,
Sehen wir mal, [was Rolf gezeigt hat](https://forum.selfhtml.org/self/2022/jul/09/bilder-und-suchmaschinen/1800370#m1800370):
**1. Verteidungslinie:** Ordner und Bilder nirgendwo verlinken und klassische, erratbare Ordnernamen vermeiden (statt dessen zufälliger Name)
**2. Verteidungslinie:** In der .htaccess einen Alias setzen, welche Zugriffe via HTTP auf eben diesen Ordner auf einen nicht existenten Ordner verweist.
Test:
~~~apache,bad
Alias "/foo" "/bar"
~~~
Hierzu sagt mein Apache:
~~~
/var/www/test/.htaccess: Alias not allowed here
~~~
Einem Angreifer wird verraten, dass das Verzeichnis wahrscheinlich(sic!) existiert. Meiden.
Aber ein Rewrite geht und ist „Alias genug“:
~~~apache,good
RewriteEngine On
RewriteRule "^guuvzvtUZT345u56JhGjuUr86/.*$" "/fake404.html" [R=404, L]
~~~
Freilich muss der Hoster dazu mod_rewrite erlauben...
Alternative:
~~~apache,bad
chmod a-rwx .htaccess
~~~
Das Verzeichnis wird unbenutzbar, aber der „Angreifer“ bekommt verpetzt, dass das Verzeichnis existiert.
**3. Verteidungslinie:** Deine Idee mit dem Passwortschutz sollte, so Rolf, zusätzlich aufgegriffen werden. (Das ist dann die Dritte Verteidigungslinie)
Klar ist, dass das all dieses die zweitbeste Lösung ist, aber die beste (Ordner außerhalb von Dokument-Root) geht halt nicht.
Ergänzend zur 1. Verteidigungsline: Nichts ist dümmer als das Verzeichnis in einer robots.txt zu nennen oder sonstwie darum zu bitten, dieses nicht zu öffenen. Da kann man auch eine Bank eröffnen, im Kundenbereich einen Taster installieren und daneben ein Schild aufstellen: *„Diesen Knopf nicht drücken, sonst geht der Tresor auf und nicht wieder zu.“*
Rolfs Vorschlag passt
bearbeitet von Raketenwilli> warum nicht gleich richtig? Ohne einen Passwortschutz ist das alles reichlich sinnlos,
Sehen wir mal, [was Rolf gezeigt hat](https://forum.selfhtml.org/self/2022/jul/09/bilder-und-suchmaschinen/1800370#m1800370):
**1. Verteidungslinie:** Ordner und Bilder nirgendwo verlinken und klassische, erratbare Ordnernamen vermeiden (statt dessen zufälliger Name)
**2. Verteidungslinie:** In der .htaccess einen Alias setzen, welche Zugriffe via HTTP auf eben diesen Ordner auf einen nicht existenten Ordner verweist.
Test:
~~~apache,bad
Alias "/foo" "/bar"
~~~
Hierzu sagt mein Apache:
~~~
/var/www/test/.htaccess: Alias not allowed here
~~~
Einem Angreifer wird verraten, dass das Verzeichnis wahrscheinlich(sic!) existiert. Meiden.
Aber ein Rewrite geht und ist „Alias genug“:
~~~apache,good
RewriteEngine On
RewriteRule "^guuvzvtUZT345u56JhGjuUr86/.*$" "/fake404.html" [R=404, L]
~~~
Freilich muss der Hoster dazu mod_rewrite erlauben...
Alternative:
~~~apache,bad
chmod a-rwx .htaccess
~~~
Das Verzeichnis wird unbenutzbar, aber der „Angreifer“ bekommt verpetzt, dass das Verzeichnis existiert.
**3. Verteidungslinie:** Deine Idee mit dem Passwortschutz sollte, so Rolf, zusätzlich aufgegriffen werden. (das ist dann die Dritte Verteidigungslinie)
Klar ist, dass das all dieses die zweitbeste Lösung ist, aber die beste (Ordner außerhalb von Dokument-Root) geht halt nicht.
Ergänzend zur 1. Verteidigungsline: Nichts ist dümmer als das Verzeichnis in einer robots.txt zu nennen oder sonstwie darum zu bitten, dieses nicht zu öffenen. Da kann man auch eine Bank eröffnen, im Kundenbereich einen Taster installieren und daneben ein Schild aufstellen: *„Diesen Knopf nicht drücken, sonst geht der Tresor auf und nicht wieder zu.“*
Rolfs Vorschlag passt
bearbeitet von Raketenwilli> warum nicht gleich richtig? Ohne einen Passwortschutz ist das alles reichlich sinnlos,
Sehen wir mal, [was Rolf gezeigt hat](https://forum.selfhtml.org/self/2022/jul/09/bilder-und-suchmaschinen/1800370#m1800370):
**1. Verteidungslinie:** Ordner und Bilder nirgendwo verlinken und klassische, erratbare Ordnernamen vermeiden (statt dessen zufälliger Name)
**2. Verteidungslinie:** In der .htaccess einen Alias setzen, welche Zugriffe via HTTP auf eben diesen Ordner auf einen nicht existenten Ordner verweist.
Test:
~~~apache,bad
Alias "/foo" "/bar"
~~~
Hierzu sagt mein Apache:
~~~
/var/www/test/.htaccess: Alias not allowed here
~~~
Aber ein Rewrite geht und ist „Alias genug“:
~~~apache,good
RewriteEngine On
RewriteRule "^guuvzvtUZT345u56JhGjuUr86/.*$" "/fake404.html" [R=404, L]
~~~
Freilich muss der Hoster dazu mod_rewrite erlauben...
**3. Verteidungslinie:** Deine Idee mit dem Passwortschutz sollte, so Rolf, zusätzlich aufgegriffen werden. (das ist dann die Dritte Verteidigungslinie)
Klar ist, dass das all dieses die zweitbeste Lösung ist, aber die beste (Ordner außerhalb von Dokument-Root) geht halt nicht.
Ergänzend zur 1. Verteidigungsline: Nichts ist dümmer als das Verzeichnis in einer robots.txt zu nennen oder sonstwie darum zu bitten, dieses nicht zu öffenen. Da kann man auch eine Bank eröffnen, im Kundenbereich einen Taster installieren und daneben ein Schild aufstellen: *„Diesen Knopf nicht drücken, sonst geht der Tresor auf und nicht wieder zu.“*
Rolfs Vorschlag passt
bearbeitet von Raketenwilli> warum nicht gleich richtig? Ohne einen Passwortschutz ist das alles reichlich sinnlos,
Sehen wir mal, was Rolf gemacht hat:
**1. Verteidungslinie:** Ordner und Bilder nirgendwo verlinken und klassische, erratbare Ordnernamen vermeiden (statt dessen zufälliger Name)
**2. Verteidungslinie:** In der .htaccess einen Alias setzen, welche Zugriffe via HTTP auf eben diesen Ordner auf einen nicht existenten Ordner verweist.
Test:
~~~apache,bad
Alias "/foo" "/bar"
~~~
Hierzu sagt mein Apache:
~~~
/var/www/test/.htaccess: Alias not allowed here
~~~
Aber ein Rewrite geht und ist „Alias genug“:
~~~apache,good
RewriteEngine On
RewriteRule "^guuvzvtUZT345u56JhGjuUr86/.*$" "/fake404.html" [R=404, L]
~~~
Freilich muss der Hoster dazu mod_rewrite erlauben...
**3. Verteidungslinie:** Deine Idee mit dem Passwortschutz sollte, so Rolf, zusätzlich aufgegriffen werden. (das ist dann die Dritte Verteidigungslinie)
Klar ist, dass das all dieses die zweitbeste Lösung ist, aber die beste (Ordner außerhalb von Dokument-Root) geht halt nicht.
Ergänzend zur 1. Verteidigungsline: Nichts ist dümmer als das Verzeichnis in einer robots.txt zu nennen oder sonstwie darum zu bitten, dieses nicht zu öffenen. Da kann man auch eine Bank eröffnen, im Kundenbereich einen Taster installieren und daneben ein Schild aufstellen: *„Diesen Knopf nicht drücken, sonst geht der Tresor auf und nicht wieder zu.“*