htaccess

Zdravím, potřebuju pošéfovat bezpečnost server, pomocí htacceess ( možno i jinak )

Snažím se pomocí htaccess nastavit, aby veřejnost měla přístup k Indexes všem, a mohla obsah webu pouze STÁHNOUT ( VŠECHNO VŠEM ), kromě souborů *.html ty jediné by se neměli stahovat, ale měli by se dát SPUSTIT

Můj htaccess :

A ono se dá dělat něco jiného se soubory na webu než je spouštět a stahovat?
- jde mi o to, aby nešlo nic krom .html spustit, ale jen a pouze stáhnout

Pokud máte na stránkách nějaký bezpečnostní problém, tak tímto jej nevyřešíte.
- toto je prevence

Evidentně jste mě ani jeden nepochopil. Nejedná se o nějaký jen tak něco, je to cílené říkám to tak jak to potřebuju ne tak abych to nějak zamotal, aby se vlk nažral a koza zůstala celá.

Prosím o radu jak docílím nejlépe pomocí htaccess :
1. Indexes bude vyditelný pro všechny
2. Všechny soubory půjdou jenom stáhnout
3. Všechny .html soubory půjdou jenom spustit

spustit = otevřít v prohlížečí obsah html přehraný prohlížečem ( bez stahování )

Evidentně jste nepochopil informace Vy.
Vaše terminologie není srozumitelná (indexes, stáhnout, spustit (bez stahování)).
Napište třeba jednoduše co se má stát, když v prohlížeči zadáte cestu k souborům:
*.jpg
*.pdf
*.php
*.txt
*.html
*.css
*.xml

například stažení (nevykonání) PHP souboru by bylo dost velké "rizoto" (třeba takový configuration.php ...)

Tedy konkrétně, takhle to vypadá : Indexes - výpis adresáře KLIKNOUT ZDE

Všechno funguje jak má až na to, že motd.html nejde otevřít a stahuje se taky : motd.html KLIKNOUT ZDE

.htacess
<Files *.*> todle a tohle <Files *.html> se nejspíš nějak hádají, ale vyhrává tohle <Files *.*>

---

Zajímavé, že v případě deny a allow tento problém nevzniká tam v pohode dělám to, že zakážu vše a pak povolím jen něco.

Může si vybrat jestli spustit nebo stáhnout ? Spíš stáhnout a na localhostu pustit ne ?

Aha, to je možný. Avšak činy jsou důležitější než slova toto je php script ve kterým je pouze echo, pokud se Vám ho podaří spustit, je tam pro Vás v echu vzkaz

KLIKNOUT ZDE

Jsem rád, že vím ja ji pomocí filematch a denyúallow hrát s příponama, filetype nebo forcetype či co to je jde kousek mimo mě. Když to tedy dělám špatně, jak by jste to řešil vy ?

§§§§§§§§§§§§§§§§§§§§§§§§§§

PS : Ani s tímto htaccess :

Nevidím v prohlížečí co se ukrývá v souboru :

motd.txt KLIKNOUT ZDE

Mám pocit že v tom máte pořádnej guláš.
O : Ano, právě mi v hlavě hrají hokejisti na zamrzlém guláši.

Na serveru Vám nikdo žádný PDF, EXE nebo cokoliv jiného prostě nespustí. Vždy to spouští u sebe na počítači, a to je zas úplně něco jiného než localhost. Localhostem je obvykle označován webový (nebo jiný) server spuštěný na tom konkrétním počítači aten s touto situací nemá naprosto co do činění.
O : Já jsem o exe ani pdf nemluvil

Vzkaz v echu Vám neřeknu, páč v tom PHP máte syntaktickou chybu (na řádku 20 chybí středník). To že mi ale prohlížeč nabídne PHP ke spuštění neznamená že jej na serveru neprovede. Ten PHP skript se normálně na serveru spustí, udělá co má, a jelikož je u něj výstup html tak dle Vašeho htaccess jej pošle jako obsah ke stažení. Já si jej na počítači uložím a prohlédnu. Pokud by jste navíc vypl PHP tak si prohlédnu přímo zdroják PHP, to je to co psal karel0 výše, pokud by to bylo na adresářem Joomly, zaprvý by Vám nefungovala a za druhý by si kazždý prohlíd Vaše hesla k databázi.
O :
1. Ano, chybu tam mám
2. Takže když kliknu na ten odkaz co jsem Vám poslal tak ten script zároven' spouštím ? No to je to co nechci, dá se to nějak zablokovat?
3. Na chybu jste přišel normálně nebo až po stažení a otevření v prohlížeči ?
4. Co by tento htaccess dělal v adresáři joomly, však je od joomly o 4 adresáře výše
5. S databází to také řekl nemá nic ani z letadla, ale vy jste zkušenejší nevím.

A co se týče TXT - odporuje to Vašemu původnímu zadání červeně a zeleně psaneému. Chtěl jste zobrazovat jen html soubory. txt soubor není html soubor, ty direktivy se řídí příponou.
O : Dělejme jako že to tak úplně chápu.

A zmínka ohledně toho opačného postupu - úplně jednoduše, Vy nejprve všemu nastavujete, že se má chovat jako příloha a jen html nastavíte správný typ. Tak to udělejte opačně, vše nechte jak je, z nastavení web serveru a jen u těch přípon u kterých budete vědět že je nechcete zobrazit a oni se zobrazují nastavíte aby se chovali jako příloha.
O : Nevidím na tom nic jednoduššího v té části webu chci zkrátka používat pouze pár .html souborů bez css, bez php, bez mysql, bez NIČEHO Zktrákta jen pár HTML souborů a je nezbytné, aby ostatní se stahovalo, zároven' je nezbytné, aby se nedalo spustit tedy vykonat scriptu napsaného v .php nebo jiných podobných škodných souborech.

§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§
NOVÉ PODMÍNKY :

Prosím o radu jak docílím nejlépe pomocí htaccess :
1. Indexes bude vyditelný pro všechny
2. Všechny soubory půjdou jenom stáhnout ( bez toho, aniž by šly spustit )
3. Všechny .html soubory půjdou jenom spustit

( bez toho, aniž by šly spustit ) = aby nešel na serveru vykonat script v například .php souboru

PS : neměl jsem to pochopit tak, že to takhle udělat nejde ?

Olalálá zase bludný kruh
- zakázat PHP ? a to jak ? to jde pouze glogálně pokud já vím... Nemám v plánu kvůli kousku prostoru na webu zničit 20 webů
- když si to uložíte tak si to pak u sebe v prohlížeci otvírejte jak dlouho chcete to už mě netrápí tam jde o to, že kdyby tam někdo uložil cíleně třeba php soubor obsahující scandir(), tak aby si nemohl naslitovat kde co, toto byl příklad v našem případě Indexes to nevadí, snacdir ani nepotřebuje
- to že htaccess plati i pro podřadné adresáře je mi také novinkou, dneska jste mě naučil už tolik věcí Vadí to i když mezi joomlou a indexes jsou 2 složky bez inde#u a pokud v indexes listujete niž tak to hodí 403 ?
- pomůže pokud tento indexes prosto hodím místo do /www/domeny/neco.eu/neco/neco/htacces/ například do /www/subdomeny/neco/ to je docela jinde než joomla
- předpokládáte špatně do tohoto prostoru nebudu uploadovat jen já, kdyb jen já tak nedělám cavyky a na tokový vejmysli kašlu
- crackování hesel a indexes mají co spolčného ?
- vadí něčemu indexes ?
- nic nemůže vypadat líp než aplikace, kterou mám pro tento prostor připravenou

Přesvědčujete mě o milion zpusobech jak to udělat jinak. Rád bych to udělal jinak, pokud bych to takhle vyloženě nepotřeboval.

Šlo by to udělat třeba takhle :

1. Indexes /wwww/subdomeny/neco/... a výš bude indexes
2. Zablokovat spuštění všeho, co by se eventuelně dalo spustit *
3. Všechny .html soubory půjdou jenom spustit

* = tím myslím všechno co jde od php, po .png . jpg, slyšel jsem, že hackerům nedělá problém upravit strukturu obrázku a zakodovat do ni php script a při načtení obrázku načítá i script, to prý jde udělat aj přes HTML, ale bez toho se prostě neobejdu.

Ale jak zjistím věchny otevřetelné formáty v prohlížeči ? , abych na ně nastavil deny from all ?

Steele, buď jste moc mladý, nebo nechápající.
Pokud napíšete:

Nevidím na tom nic jednoduššího v té části webu chci zkrátka používat pouze pár .html souborů bez css, bez php, bez mysql, bez NIČEHO

tak jak se do té složky může dostat ""škodný"" php soubor, před kterým se chcete "chránit" pomocí .htaccesu?

Pokud někdo bude mít způsob, jak k vám na server nahrát na server libovolný soubor, vaše zabezpečeni už selhalo, a následným opatřením jak tento soubor "nespustit" nebo omezit to už významně nezachráníte.



"Nové podmínky":

1. Indexes bude vi ditelný pro všechny
2. Všechny soubory půjdou jenom stáhnout ( bez toho, aniž by šly spustit )
3. Všechny .html soubory půjdou jenom spustit

ad 2) když soubor (txt,css, ...) stáhnu k sobě na disk, a pak si ho otevřu v prohlížeči - čim se to liší od toho, že si ten samý soubor otevře prohlížeč z Vašeho webu rovnou? Jak to souvisí podle Vás s zabezpečením ?

ad 3) "jenom spustit"? co jiného lze ještě (nebo nedejbože nebezpečného) podle Vás lze dělat s html souborem?(jeho obsah se stejně do prohlížeče "stáhne")