Перейти к публикации

Запрет записи для .htaccess


Рекомендованные сообщения

Когда-то разработчик давал рекомендации снять возможность записи (W) для всех основных файлов движка: .htaccess

Т.е. чтобы все основные .htaccess имели CHMOD = 444

На данном этапе развития движка (DLE 13.3), это по-прежнему рекомендовано, или же для .htaccess можно оставлять по умолчанию: CHMOD = 644

?

Ссылка на сообщение
Поделиться на других сайтах

К версии CMS это отношения не имеет, DLE не вносит изменений в .htaccess, так что смело можете ставить 444

Ссылка на сообщение
Поделиться на других сайтах
12 минут назад, germanydletest сказал:

смело можете ставить 444

Имел в виду, нужно ли это вообще для безопасности?

Ссылка на сообщение
Поделиться на других сайтах
22 минуты назад, holistic сказал:

нужно ли это вообще для безопасности?

Нужно

https://wiki.hostpro.ua/knowledgebase/secrets-htaccess/

 

Ссылка на сообщение
Поделиться на других сайтах
7 часов назад, holistic сказал:

Имел в виду, нужно ли это вообще для безопасности?

Если Вы поставите атрибуты "только чтение", то уже будет сложнее сделать редиректы на Вашем сайте для злоумышленников, или испортить кодировку сайта (что может сказаться на выдачи), ну и другие гадости. Нужно ли это Вам, это можете решить только Вы.

Ссылка на сообщение
Поделиться на других сайтах
6 часов назад, germanydletest сказал:

Если Вы поставите атрибуты "только чтение", то уже будет сложнее сделать редиректы на Вашем сайте для злоумышленников, или испортить кодировку сайта (что может сказаться на выдачи), ну и другие гадости. Нужно ли это Вам, это можете решить только Вы.

Этим только бабушек-пенсионерок пугать! Имея доступ, Ваши атрибуты слетят в момент.😎

Ссылка на сообщение
Поделиться на других сайтах
42 минуты назад, proba сказал:

Этим только бабушек-пенсионерок пугать! Имея доступ, Ваши атрибуты слетят в момент.😎

Ну имея доступ, проще ссылок в бд напихать, если на то пошло)))

Ссылка на сообщение
Поделиться на других сайтах
16 часов назад, holistic сказал:

Когда-то разработчик давал рекомендации снять возможность записи (W) для всех основных файлов движка: .htaccess

Т.е. чтобы все основные .htaccess имели CHMOD = 444

Я таких рекомендаций не давал. Атрибуты файла не гарант безопасности и какие они не важно для DLE. Атрибуты должны быть ровно такими какие есть по умолчанию, а права по умолчанию на правильно настроенном на безопасность хостинге уже в свою очередь не имеют прав на запись со стороны скриптов. Поэтому в инструкции по установке DLE есть только указание на то на какие папки и файлы нужно дать права на запись. Больше ничего менять не нужно.

Ссылка на сообщение
Поделиться на других сайтах
17 часов назад, holistic сказал:

Ну и где там об этом, киевлянин?

Там для тех, кто не понимает что-такое .htaccess, а если и дальше не понятно - Гугл в помощь, санкт-петербуржец

 

Ссылка на сообщение
Поделиться на других сайтах
11 часов назад, celsoft сказал:

Я таких рекомендаций не давал.

В более ранних версиях было предупреждение на главной в админке, что на .htaccess не установлено CMOD 444. Если не ошибаюсь, то не стало его в 13-й ветке, видимо из-за внедрения автообновления.

 

Почему удалили этот пост?

Изменено пользователем Captain
Ссылка на сообщение
Поделиться на других сайтах
11 часов назад, Captain сказал:

В более ранних версиях было предупреждение на главной в админке, что на .htaccess не установлено CMOD 444. Если не ошибаюсь, то не стало его в 13-й ветке, видимо из-за внедрения автообновления.

Неверно. В админпанели раньше было предупреждение о небезопасной конфигурации сервера и файлы имеют права на запись, что неправильно. Права на запись могут быть не только при 666 но и при других, в зависимости от конфигурации серверного ПО. И давалась универсальная рекомендация поставить 444 потому как это только чтение при любой конфигурации сервера. 644 это не обязательно наличие записи в файлы, там все напрямую зависит от настроек владельцев и групп файлов.

 

11 часов назад, Captain сказал:

Почему удалили этот пост?

Никаких постов не удаляли. Это не отдельный пост был, это уведомление в админпанели. Убрали его, потому что в этом нет никакого практического смысла. И в общем и целом на общий уровень безопасности мало влияет. А большинство хостингов чтобы иметь мало обращений по правам фигачит настройки так чтобы права на запись всегда были и пользователи пугаются постоянно.

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...