Tema: Seguridad de archivos en servidor
Ver Mensaje Individual
  #8 (permalink)  
Antiguo 13/03/2009, 09:40
Avatar de cchaparro
cchaparro
 
Fecha de Ingreso: febrero-2009
Ubicación: Medellín
Mensajes: 80
Antigüedad: 15 años, 3 meses
Puntos: 2
Respuesta: Seguridad de archivos en servidor
Bueno amigos, he seguido buscando e intentando alguna de las opciones que me comentáis pero está complicado.

En resumen, por ahora lo he puesto como sigue:

undominio.com - .htaccess con "Options All -Indexes"
undominio.com/include - .htaccess con "deny from all".

De esta forma, ningún directorio es listado, y los archivos de la carpeta include tampoco se listan y además si escribo undominio.com/include/conexion.php, el archivo no permite ser leído; pero tengo el inconveniente de que al ejecutar el logout.php de la carpeta include no me lo ejecuta, por lo que el .htaccess de la carpeta include lo tengo que quitar.

Entonces, los directorios no son listados, lo cual ya es bueno; ahora lo que me sigue preocupando es que si alguien rastrea el dominio, puede dar con los nombres de archivos y ver lo que contienen, pero al menos no el de los más relevantes.

Por ejemplo si escriben estas rutas pasaría lo siguiente:

undominio.com/include/conexion.php - la página se queda en blanco.
undominio.com/include/misestilos.css - se muestra todo el contenido.
undominio.com/include/misjs.js - se muestra todo el contenido.
undominio.com/include/sonido.mp3 - el archivo lo puede abrir o descargar.

De momento es mejor que lo que antes había, al menos los .php no se muestran.

Lo que me comentáis de modificar php.ini y archivo .conf del Apache, localmente si que puedo modificarlos, pero en el hosting no se puede hacer, así que todo cuanto pueda realizar es sobre los .htaccess y sobre los permisos de archivos y carpetas.

Seguiré investigando a ver si encuentro la fórmula que permita restringir esos otros archivos, pero si localizara algún método que dependiera de los archivos internos propios de PHP y Apache, entonces sabré que se puede hacer pero tendría que buscarme un hosting con permisos para tocar en esas zonas.

Total, tampoco es que ande haciendo las páginas web de la NASA jajaja, pero la verdad, este asunto es preocupante, porque no es nada bueno estar viendo la tele pensando en que por ahí te están tomando el código sin preguntar, o que montes algún negocito y te lo estropicien por estas cosas. Son cuestiones de seguridad de las que deberían poner algún manual para webmasters, y antes de aprender a realizar páginas, enseñarnos bien a poner seguridad.

Pero tenemos buena comunidad para eso ¿ verdad ? :).

Muchas gracias de corazón siempre por toda la ayuda, esto es lo bonito de Internet.