¿Poner 777 en el WWW hace la web mas vulnerable?

Tengo una duda sobre la seguridad de mi web (es un hosting gratuito de archivos que tengo en un hosting de pago)....

Las carpetas son
www/uploads/
www/images/
www/pages/

3 carpetas dentro del www

y para que funcione y no me saliera un error he tenido que cambiar los permisos a las carpetas "www" (principal) y "uploads", ahora tienen los 777.
En el "uploads" se guardan los archivos que subirá la gente.

¿Hay algun problema? ¿Mi web va a ser vulnerable al cambiar y poner 777 en el www?... Es que si no no me funcionaba.

Lo que no quiero es que se conecten robots (como le pasan a otros hosting de archivos y descargen los archivos que tengo en la carpeta uploads)

Gracias.

¿alguien que me pueda informar?

Por favor. Gracias.

Si,

le estas dando permisos TOTALES a esos files.

Lo correcto es que les permitas permiso de SOLO LECTURA, es decir 004

Gracias!

Y otra duda.... si pongo en el navegador http://www.mipagina.com/uploads/ me sale el tipico directorio con todo lo que hay dentro.... (y no quiero que se vea).

Me explico:

En algunas ocasiones he intentado en internet acceder a algunas carpetas para ver su contenido y no he podido. Si por ejemplo la pagina era http://www.unapagina.com/images/foto1.jpeg

he intentado poner http://www.unapagina.com/images/ para ver todo el directorio y no me ha dejado........ sin embargo en mi pagina lo pongo y me sale todo lo que hay en esa carpeta...

¿Como se hace para que cuando un usuario pone una carpeta en el navegador no te aparezca el listado completo de lo que contiene? ¿Que es lo que tengo que hacer? ¿Es algo de los permisos?

Seguro que alguien te da una solución más apropiada, pero mientras puedes hacer un index.htm en blanco y colocarlo en los directorios que no quieras listar.

De hecho esta es la mejor opción. Ahora que también puedes poner un "refresh" al index.htm para que te mande a una pagina x en tu sitio, no se quiza a la pagina de uploads o la pagina principal o que se yo.

Yo en el index pondría el script de error, así confundes al usuario.

Parece la mejor, ¿pero si tuvieras que hacerlo para 500 carpetas lo sería?

Nada mejor que el buen aliado el .htaccess para esos trabajos repetitivos que a nadie le gustaría hacer. La ventaja del .htaccess es que podrás indicar que se muestre un código de error (404) o uno de Forbidden.

He leido este posty me ha parecido interesante,pero no termino de entender.Si yo tengo un directorio que se llama por ejemplo miDirectorio,si no quiero que se vean los archivos de ese directorio qué debo hacer??Debo poner un fichero *.htaccess en ese directorio??Qué debería llevar ese fichero??

El archivo *.htacces ya existe, lo que tienes que hacer es editarlo y ponerle clave a la carpeta que quieras.

Ocultar archivos o carpetas:

Prevenir "hot linking":

Sí, a eso me refería con una solución más apropiada

Vuelvo a retomar este tema por la pregunta que lo abría. Se preguntaba si poner permisos 777 a un directorio era inseguro, y se ha contestado que sí, que hay que poner sólo lectura. Mi pregunta es: ¿cómo se hace para que el php pueda escribir en un directorio si no es poniéndole 777?

Gracias.

Bueno, parece que el .htaccess es lo que buscaba... pero he habilitado los .htaccess desde mi panel de control (y despues de esperar unas cuantas horas como me decia mi hosting) me encuentro que no veo ningun archivo llamado .htaccess..... ¿Donde está? ¿O lo tengo que creer yo y subirlo?

¿Y cuantos se pueden poner? ¿Hay que poner uno en cada carpeta que quieras utilizar? ¿O solo existe un archivo .htaccess y desde él se controlan todas las carpetas?

¿Sabeis de algun manual (para NOVATOS) donde te expliquen "paso a paso" como se utilizan el .htaccess?

y coincido, si le pones otra cosa que no sea 777, ¿con el htaccess te cambia de lectura a escritura y luego te lo vuelve a poner como estaba?¿es asi?

al hacer un index.htm en blanco, ¿que hay que poner para hacer ese "refresh" y que te mande automaticamente a un archivo llamado por ejemplo "Error.php" o "Error.html"?

yo mismo me contesto je je je

si alguien está interesado en saberlo, haceis un index.htm en blanco y las meteis en cada carpeta
(como han dicho por arriba y cuando no sean muchas carpetas) ...... solo teneis que poner en el codigo :

<meta HTTP-EQUIV="Refresh" CONTENT="1; URL=http://www.tupagina.com">

en la URL poneis donde quereis redireccionarla y en CONTENT los segundos que va a tardar en hacer la redireccion...

Lo digo por si a alguien le interesa saberlo. je je

El .htaccess es sencillo de utilizar, pero necesitas cierta práctica al principio, en Google seguro que te encuentras buenos tutoriales.

Mira, te voy a poner un ejemplo concreto, vamos a suponer que yo tengo las siguientes carpetas en mi raíz:

imagenes_generales
imagenes_css
pdf_documents
funciones_php
funciones_javascript

Ahora, para protegerlas a todas, nada más necesito crear un archivo de texto plano, con el nombre .htaccess y colocarlo justo en la raíz, junto a todas esas carpetas que quiero proteger, ¿vale?

Ok, aquí vamos, lo que contendría ese archivo como cabecera sería esto:

RewriteEngine On

Con eso activas el módulo REWRITE, el .htaccess puede manejar muchos módulos diferentes, cada uno de ellos tiene su funcionalidad, en este ejemplo sólo usaremos el módulo Rewrite, ¿ok?

Protegiendo imagenes_generales
y ahora para proteger la carpeta de imagenes_generales, échale un ojo al siguiente renglón (lo comenzado con # es un comentario):

#Proteger mis carpetas de listados
RewriteRule ^imagenes_generales/$ - [F,NC]

Encerré imagenes_generales entre los símbolos ^ y $ porque es en esa frase se debe colocar expresión regular, en este caso, pues no estamos usando ninguna. El siguiente elemento es un guión (-) que sirve para decirle a Apache que no haga nada, sólo que siga leyendo y el tercer elemento es [F,NC] que significa que muestre un error (F:forbidden) y NC es para que no importe si imagenes_generales esté escrito con o sin mayúsculas (NC: no capital letter), creo que eso significa NC.

Protegiendo todas las carpetas de imágenes
Bueno, pero ya que nos dan chance de usar una expresión regular, pues saquémosle más provecho. A continuación está cómo podrías sustituir ese RewriteRule para proteger todas tus carpetas de imágenes en una sola línea:

RewriteRule ^im[a-z0-9_-]*/$ - [F,NC]

De esta manera, estás protegiendo todas las carpetas que comiencen con las letras im, es decir, todas tus carpetas de imágenes. No importa qué es lo que siga después de ese im, pero debe de ser (pues así se está especificando en la expresión regular) cualquiera de los siguientes caracteres: letras, números, guiones bajos y guiones normales. Y forzosamente terminar con una diagonal (/), de esta forma le dices que te refieres a una carpeta.

Ahora protejamos todas nuestras carpetas listadas
De la misma forma podríamos, en una sola expresión, proteger las carpetas listadas con:

#RewriteRule ^(im|pdf|f)[a-z_]*/$ - [F,NC]

De hecho, jugando un poco con las expresiones regulares, puedes llegar a expresiones más generales y útiles, pero he aquí el principio de su funcionamiento.

Ya juntando todo, así es como se verá el archivo .htaccess finalmente:

Código:

RewriteEngine On

#Proteger mis carpetas de gente curiosa
RewriteRule ^(im|pdf|f)[a-z_]*/$ - [F,NC]

Otros usos del .htaccess muy interesantes

• Generar URL's amigables
• evitar que te pongan tus fotografías en otros sitios web
• optimizar la forma en que los buscadores rastrean tu sitio, aumentando con ello la cantidad de páginas listadas y ahorrando ancho de banda
  
• tener varios sitios en un mismo hosting aunque sólo tengas hayas pagado una sola cuenta
  
• evitar que Google 'piense' que tienes contenido duplicado al hacer uniforme la forma en la que te lista en su buscador (así tampoco te divide tu pageRank)
• Crear redirecciones temporales y permanentes, para que, si cambias de dominio, sigas conservando tu PageRank (entre otros usos)
• Evitar que un competidor esté monitoreando tus precios con algún script (bloqueando su IP y mostrándole sólo a él que tu página está fuera de servicio)
• Crear subdominios dinámicamente
• Y quizá otra que no tengo presentes ahora mismo.

Bueno, es todo, espero que puedas configurar bien tu archivo .htaccess, es muy poderoso y vale la pena explotar su funcionalidad.

Esto... ¿entonces qué pasa con el 777?

¿Pero poniendo esas lineas de codigo en el .htaccessse evita que al poner como direccion una carpeta aparezca el listado de archivos que contiene dicha carpeta??Es que he puesto eso pero me siguen apareciendo todos los archivos...

Joder, uamistad , que explicacion tan buena... muchas gracias.

Pero lo que quiero es justamente lo contrario.... Tener todo "bloqueado" en las carpetas y permitir su escritura "justo" cuando un usuario suba un archivo... ¿que tendria que poner en el htaccess para que me permita "durante un momento" "abrir" la carpeta de los "uploads"..

Si alguien lo sabe... Gracias.

Robandrox, concretamente al poner:

Evitas que listen desde una URL:

tudominio.com/images/

o cualquier carpeta que comience con las letras (im, pdf, f) y que termine con /

Saludos, qué nick tan cotorro. En el .htaccess no puedes escribir cosas que por un momento te dejen hacer algo y al siguiente no. Digamos que es un archivo en donde pones "ciertas reglas".

Mmm... yo dejaría esa carpeta (o más bien el listado de esa carpeta) fuera de los ojos de las personas usando el .htaccess o bien poniendo un index.html en blanco si no te quieres complicar.

Para lo otro, al momento de subir archivos, ya desde PHP, lo guardo en esa carpeta y por un momento cambiaría los permisos de la carpeta utilizando las funciones del sistema de archivos para poder guardar, en cuanto termine de hacerlo, los permisos se regresan a donde estaban antes con las mismas funciones.

Perdón por mi ignorancia, pero ¿cómo puedo cambiar los permisos de un directorio? En la referencia sólo veo chmod(), que me funciona para archivos pero no para directorios.

Gracias.

Jeje, parece que dije una burrada entonces, =)
Yo lo he usado para archivos nada más, jaja.

Entonces volvemos al problema inicial: Nuestra aplicación php tiene que subir archivos a una carpeta y esta carpeta tiene que tener permisos. Ponerle permisos 777 a una carpeta es inseguro. ¿Cuál es la solución?

Vamos, este tipo de scripts los hace todo el mundo, tiene que haber alguien que nos arroje luz

Jajaja, como lo del huevo y la gallina.

Efectivamente, regresamos al punto inicial. Yo me anoté al thread porque me interesó mucho el título, luego por ahí quién sabe qué pasó que se empezó a desviar, pero tienes razón, nadie ha contestado el tema principal.

No soltemos el thread hasta que alguien conteste.

Tendrías que hacerte unas preguntas para ver que tipo de permiso necesistas en cada caso:

¿Tus archivos se han de ejcutar en tu servidor? .. Si subes imagenes y archivos que sólo están de "paso" o como "almacenamiento" en el servidor .. la respuesta sería: NO .. y en consecuencia no tiene sentido dar permisos de "ejecución" al archivo (como lo haces con "777").

Luego otras preguntas a realizar: ¿quien debe acceder al archivo? .. Aquí debes conocer como funciona "PHP" y otros servicios que acceden a tus archivos. Por ejemplo .. si tus archivos que subes los gestionas con scripts PHP (que los abren .. que los descargan .. etc), entonces debes tener permisos para lectura/escritura para el usuario que use "PHP" al menos. Pero si accedes también a esos archivos por "FTP" .. normalmente usas "otro" usuario .. así que los permisos ya tendrían que ser a todo el "grupo" (si es que ambos están en el mismo) o a todo usuario (del servidor).

Despues de esto ..sería cosa de leer un manual de UNIX/LINUX sobre la representación en octal de esos permisos de archivos/ejecución y por grupo o propietario (en un "cliente FTP" normalmente lo ves de forma "gráfica" estas propiedades para que las ajustes).

Un saludo,

y con 0677 no te funcion? .. Por lo menos con el "6" le quitas el permiso más peligroso que hay: ejecución ... El resto que indica que todo usuario tiene permisos de escritura lectura .. se refiere a usuarios "vecinos" tuyos de tu servidor y depende mucho de la configuración de PHP también: restricciones de "safe mode" .. o de "open base dir" .. etc.

Esto no depende de "permisos" de tus archivos/directorios .. sino de como protegas tu directorio por otros médios (estas indicaciones ya te las han dado como el uso del "mod_rewrite" o .htaccess en general).

Un saludo,

Yo lo suelo utilizar mucho cuando hay un backoffice desde donde el usuario gestiona una galería, por ejemplo. Los archivos serían fotografías y se guardarían en un directorio determinado. Esas fotos después serán visualizadas con llamadas HTTP normales desde el html.

- Si pongo los permisos del directorio en 777, me permite subir las fotos.
- Si pongo los permisos en 766 (ejecutar sólo para el owner, escribir para todos), no me permite, me da un error de permiso denegado al intentar subir una foto.
- Si pongo los permisos en 677 sí me deja, pero no lo entiendo, porque aquí estoy negándole la ejecución al owner y permitiéndosela a los demás.

Me pierdo un poco...

Deberías si quieres concretar el "significado" de esos "n°" en un manual de "permisos para archivos de UNIX" o en el foro de "Linux" .. Pero en tu ejemplo (677 vs 766) te estás olvidando del "grupo".

Piensa que tu script PHP es ejecutado por el interprete PHP y este a su vez se "ejecuta" bajo cierto usuario .. normalmente en una instalación de PHP bajo el servidor HTTP (en modo "módulo") el usuario que actuará sobre tu archivo en cuestión será "Apache" (o el servidor HTTP y usuario que use este). En instalaciones en modo "CGI" para PHP .. el usuario será el que se asignó (normalmente se usa el mismo que al usuario que creas para accesos por FTP ..). Esto hay que tenerlo presente junto con el "significado" esos permisos para saber por qué se aplican estas restricciones.

Un saludo,

Gracias, Cluster. Voy al foro de linux a plantear el tema allí.

no me funciona!! solo me daja cuando pongo 777!!