CMS DataLife Engine - Система управления сайтами

Sign in to follow this  
holistic

Запрет записи для .htaccess

Recommended Posts

Когда-то разработчик давал рекомендации снять возможность записи (W) для всех основных файлов движка: .htaccess

Т.е. чтобы все основные .htaccess имели CHMOD = 444

На данном этапе развития движка (DLE 13.3), это по-прежнему рекомендовано, или же для .htaccess можно оставлять по умолчанию: CHMOD = 644

?

Share this post


Link to post
Share on other sites

К версии CMS это отношения не имеет, DLE не вносит изменений в .htaccess, так что смело можете ставить 444

Share this post


Link to post
Share on other sites
12 минут назад, germanydletest сказал:

смело можете ставить 444

Имел в виду, нужно ли это вообще для безопасности?

Share this post


Link to post
Share on other sites
3 часа назад, Nektov сказал:

Нужно

Ну и где там об этом, киевлянин?

Share this post


Link to post
Share on other sites
7 часов назад, holistic сказал:

Имел в виду, нужно ли это вообще для безопасности?

Если Вы поставите атрибуты "только чтение", то уже будет сложнее сделать редиректы на Вашем сайте для злоумышленников, или испортить кодировку сайта (что может сказаться на выдачи), ну и другие гадости. Нужно ли это Вам, это можете решить только Вы.

Share this post


Link to post
Share on other sites
6 часов назад, germanydletest сказал:

Если Вы поставите атрибуты "только чтение", то уже будет сложнее сделать редиректы на Вашем сайте для злоумышленников, или испортить кодировку сайта (что может сказаться на выдачи), ну и другие гадости. Нужно ли это Вам, это можете решить только Вы.

Этим только бабушек-пенсионерок пугать! Имея доступ, Ваши атрибуты слетят в момент.😎

Share this post


Link to post
Share on other sites
42 минуты назад, proba сказал:

Этим только бабушек-пенсионерок пугать! Имея доступ, Ваши атрибуты слетят в момент.😎

Ну имея доступ, проще ссылок в бд напихать, если на то пошло)))

Share this post


Link to post
Share on other sites
16 часов назад, holistic сказал:

Когда-то разработчик давал рекомендации снять возможность записи (W) для всех основных файлов движка: .htaccess

Т.е. чтобы все основные .htaccess имели CHMOD = 444

Я таких рекомендаций не давал. Атрибуты файла не гарант безопасности и какие они не важно для DLE. Атрибуты должны быть ровно такими какие есть по умолчанию, а права по умолчанию на правильно настроенном на безопасность хостинге уже в свою очередь не имеют прав на запись со стороны скриптов. Поэтому в инструкции по установке DLE есть только указание на то на какие папки и файлы нужно дать права на запись. Больше ничего менять не нужно.

Share this post


Link to post
Share on other sites
17 часов назад, holistic сказал:

Ну и где там об этом, киевлянин?

Там для тех, кто не понимает что-такое .htaccess, а если и дальше не понятно - Гугл в помощь, санкт-петербуржец

 

Share this post


Link to post
Share on other sites
11 часов назад, celsoft сказал:

Я таких рекомендаций не давал.

В более ранних версиях было предупреждение на главной в админке, что на .htaccess не установлено CMOD 444. Если не ошибаюсь, то не стало его в 13-й ветке, видимо из-за внедрения автообновления.

 

Почему удалили этот пост?

Edited by Captain

Share this post


Link to post
Share on other sites
11 часов назад, Captain сказал:

В более ранних версиях было предупреждение на главной в админке, что на .htaccess не установлено CMOD 444. Если не ошибаюсь, то не стало его в 13-й ветке, видимо из-за внедрения автообновления.

Неверно. В админпанели раньше было предупреждение о небезопасной конфигурации сервера и файлы имеют права на запись, что неправильно. Права на запись могут быть не только при 666 но и при других, в зависимости от конфигурации серверного ПО. И давалась универсальная рекомендация поставить 444 потому как это только чтение при любой конфигурации сервера. 644 это не обязательно наличие записи в файлы, там все напрямую зависит от настроек владельцев и групп файлов.

 

11 часов назад, Captain сказал:

Почему удалили этот пост?

Никаких постов не удаляли. Это не отдельный пост был, это уведомление в админпанели. Убрали его, потому что в этом нет никакого практического смысла. И в общем и целом на общий уровень безопасности мало влияет. А большинство хостингов чтобы иметь мало обращений по правам фигачит настройки так чтобы права на запись всегда были и пользователи пугаются постоянно.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this