htaccess

Marco marco a leduke.biz
Gio 11 Maggio 2006 00:19:45 CEST


$> From: Gianmarco Giovannelli <gmarco a gufi.org>
$> Subject: Re: htaccess

$> non ho capito bene se:
$> 1) non vuoi che gli utenti possano vedere il 
$> contenuto di una cartella in cui manca un file index.*  ...
$> 2) non vuoi che si possa prendere liberamente 
$> determinati files (pur non vedendo la lista)  ...

Mi spiego meglio, il programma in questione, (atmphp www.phpatm.com) è
scritto appunto totalmente in php.
E' un tools per condividere sul web, cartelle e sottocartelle con files a
livello utente, oltre che a tools per la visualizzazione degli stessi.
Ebbene, il programma funziona ed in intranet lo usano alcuni utenti, però
vorrei renderlo più sicuro.
I creatori del prg, consigliano di fare un chmod 777 su tutti i files del
prg e tutte le cartelle, in questo modo però, se io punto con il browser a:
http://www.mydomain.com/atm/users/nome-utente

Viene visualizzato il file dell'utente compreso l'hash della password.
Per non avere ciò, i creatori del prg, consigliano di allocare per ogni
directory un file .htaccess, con scritto "deny all", in questo modo
"dovrebbe" essere risolto il problema di visualizzazione.

1 - Ebbene, non sono per niente pratico di php, ma non credo sia necessario
effettuare il chmod su TUTTO, cosa ne pensi?
2 - Si, la soluzione .htaccess sarebbe giusta, ma se non sbaglio, .htaccess
non si usava in apache 1.3? Dalla versione 2.0 non si implementa in
httpd.conf?
Nel loro file di setup conf.php, includono una riga per fare leggere appunto
i files .htaccess, non essendo assolutamente pratico con php non so quale
sia a questo punto la soluzione migliore.
:-(

$> Nel caso:
$> 1) Elimina la keyword "Indexes" dalle opzioni 
$> della cartella in oggetto o da quella 
$> "/usr/local/www/data" se vuoi estenderlo a tutte le sottocartelle

Scusa la "dumbaggine", puoi spiegarti meglio sul punto 1)?


$> 2) Questo caso e' piu' complesso e' devi giocare 
$> con le direttive di apache, es per prendere solo 
$> con pwd i file jpg potresti usare qualcosa del tipo:
$> 
$> <FilesMatch "^.*(jpg|jpeg)$">
$>          AuthName "Accesso riservato ai chi puo' prendere i jpg"
$>          AuthType Basic
$>          AuthUserFile /usr/local/etc/apache2/jpg.users
$>          require valid-user
$> </FilesMatch>

Avevo pensato anche a questo, ma ovviamente in httpd.conf, giusto? Ed in
questo caso il file conf.php non sarebbe allineato, perché è configurato con
i files .htaccess....
:-(

Mumble, forse è più semplice di quanto creda, ma non riesco a spiegarmi
meglio.
:-<
Provo, grazie.



Maggiori informazioni sulla lista aiuto