holistic 24 Опубликовано: 24 октября 2019 Рассказать Опубликовано: 24 октября 2019 Когда-то разработчик давал рекомендации снять возможность записи (W) для всех основных файлов движка: .htaccess Т.е. чтобы все основные .htaccess имели CHMOD = 444 На данном этапе развития движка (DLE 13.3), это по-прежнему рекомендовано, или же для .htaccess можно оставлять по умолчанию: CHMOD = 644 ? Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 457 Опубликовано: 24 октября 2019 Рассказать Опубликовано: 24 октября 2019 К версии CMS это отношения не имеет, DLE не вносит изменений в .htaccess, так что смело можете ставить 444 Цитата Ссылка на сообщение Поделиться на других сайтах
holistic 24 Опубликовано: 24 октября 2019 Рассказать Опубликовано: 24 октября 2019 Автор 12 минут назад, germanydletest сказал: смело можете ставить 444 Имел в виду, нужно ли это вообще для безопасности? Цитата Ссылка на сообщение Поделиться на других сайтах
Nektov 59 Опубликовано: 24 октября 2019 Рассказать Опубликовано: 24 октября 2019 22 минуты назад, holistic сказал: нужно ли это вообще для безопасности? Нужно https://wiki.hostpro.ua/knowledgebase/secrets-htaccess/ Цитата Ссылка на сообщение Поделиться на других сайтах
holistic 24 Опубликовано: 24 октября 2019 Рассказать Опубликовано: 24 октября 2019 Автор 3 часа назад, Nektov сказал: Нужно Ну и где там об этом, киевлянин? Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 457 Опубликовано: 25 октября 2019 Рассказать Опубликовано: 25 октября 2019 7 часов назад, holistic сказал: Имел в виду, нужно ли это вообще для безопасности? Если Вы поставите атрибуты "только чтение", то уже будет сложнее сделать редиректы на Вашем сайте для злоумышленников, или испортить кодировку сайта (что может сказаться на выдачи), ну и другие гадости. Нужно ли это Вам, это можете решить только Вы. Цитата Ссылка на сообщение Поделиться на других сайтах
proba 57 Опубликовано: 25 октября 2019 Рассказать Опубликовано: 25 октября 2019 6 часов назад, germanydletest сказал: Если Вы поставите атрибуты "только чтение", то уже будет сложнее сделать редиректы на Вашем сайте для злоумышленников, или испортить кодировку сайта (что может сказаться на выдачи), ну и другие гадости. Нужно ли это Вам, это можете решить только Вы. Этим только бабушек-пенсионерок пугать! Имея доступ, Ваши атрибуты слетят в момент.😎 Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 457 Опубликовано: 25 октября 2019 Рассказать Опубликовано: 25 октября 2019 42 минуты назад, proba сказал: Этим только бабушек-пенсионерок пугать! Имея доступ, Ваши атрибуты слетят в момент.😎 Ну имея доступ, проще ссылок в бд напихать, если на то пошло))) Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 25 октября 2019 Рассказать Опубликовано: 25 октября 2019 16 часов назад, holistic сказал: Когда-то разработчик давал рекомендации снять возможность записи (W) для всех основных файлов движка: .htaccess Т.е. чтобы все основные .htaccess имели CHMOD = 444 Я таких рекомендаций не давал. Атрибуты файла не гарант безопасности и какие они не важно для DLE. Атрибуты должны быть ровно такими какие есть по умолчанию, а права по умолчанию на правильно настроенном на безопасность хостинге уже в свою очередь не имеют прав на запись со стороны скриптов. Поэтому в инструкции по установке DLE есть только указание на то на какие папки и файлы нужно дать права на запись. Больше ничего менять не нужно. Цитата Ссылка на сообщение Поделиться на других сайтах
Nektov 59 Опубликовано: 25 октября 2019 Рассказать Опубликовано: 25 октября 2019 17 часов назад, holistic сказал: Ну и где там об этом, киевлянин? Там для тех, кто не понимает что-такое .htaccess, а если и дальше не понятно - Гугл в помощь, санкт-петербуржец Цитата Ссылка на сообщение Поделиться на других сайтах
Captain 625 Опубликовано: 25 октября 2019 Рассказать Опубликовано: 25 октября 2019 (изменено) 11 часов назад, celsoft сказал: Я таких рекомендаций не давал. В более ранних версиях было предупреждение на главной в админке, что на .htaccess не установлено CMOD 444. Если не ошибаюсь, то не стало его в 13-й ветке, видимо из-за внедрения автообновления. Почему удалили этот пост? Изменено 25 октября 2019 пользователем Captain Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 26 октября 2019 Рассказать Опубликовано: 26 октября 2019 11 часов назад, Captain сказал: В более ранних версиях было предупреждение на главной в админке, что на .htaccess не установлено CMOD 444. Если не ошибаюсь, то не стало его в 13-й ветке, видимо из-за внедрения автообновления. Неверно. В админпанели раньше было предупреждение о небезопасной конфигурации сервера и файлы имеют права на запись, что неправильно. Права на запись могут быть не только при 666 но и при других, в зависимости от конфигурации серверного ПО. И давалась универсальная рекомендация поставить 444 потому как это только чтение при любой конфигурации сервера. 644 это не обязательно наличие записи в файлы, там все напрямую зависит от настроек владельцев и групп файлов. 11 часов назад, Captain сказал: Почему удалили этот пост? Никаких постов не удаляли. Это не отдельный пост был, это уведомление в админпанели. Убрали его, потому что в этом нет никакого практического смысла. И в общем и целом на общий уровень безопасности мало влияет. А большинство хостингов чтобы иметь мало обращений по правам фигачит настройки так чтобы права на запись всегда были и пользователи пугаются постоянно. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.