我将一些敏感数据存储在名为/data/的文件夹中。 该文件夹包含一些文件和一个子目录。
子目录包含敏感数据的修改版本,具有相同的文件名。
所以我有/data/file.exe和/data/modified/file.exe 。 我已经在.htaccess文件中设置了一些规则来阻止从服务器以外的任何访问到/data/文件夹,而不是/data/modified/ 。
由于文件名相同,任何有权访问/data/modified/文件夹的人都知道原始文件存在于/data/ ,并且名称相同。
现在的问题是,这是安全的吗? 任何人都可以覆盖这些规则,并有权访问这些文件,而不必进入服务器或修改.htaccess文件? 我知道你可以做任何事情,一旦你有权访问服务器。
我在Windows Server 2008上使用Apache Web服务器V.2.4,但可能会转移到CentOS上的LiteSpeed。
PS:请告诉我,如果这是错误的地方/格式问这个问题,所以我可以移动,编辑或删除它。 谢谢。
这不是一个理想的设置,因为您的公用文件夹是受保护目录的子文件夹。 所以每个浏览/数据/修改的人都知道父文件夹是被禁止的。 有人试图检查/data/modified/file.exe是否也包含在/data/file.exe中,他会得到一个命中是时间问题。
我的build议是分开你的文件夹结构为:
/ data_modified
/ data_secure(您可能希望使用此文件夹名称更具创造性)。
现在没有人知道安全的文件夹新名称,因此他们不知道在哪里寻找您的敏感数据,因为您不再提供文件夹名称。
除此之外,如果您正在使用.htaccess禁止访问目录,那么从安全的angular度来看,这是非常好的,并且在未经授权的情况下访问您的数据是不可能的。
但是,如果你使用它来提供用户名/密码的访问,你应该非常小心。 如果您不使用HTTPS,那么很可能用户名/密码对在您的networking上以纯文本方式进行协商。
如果您提供用户/密码访问权限,您可能也想看看如何保护.htaccess 这篇文章 。