Защита данных в текстовых файлах

[toglyatty]

Многие используют данные в текстовых файлах с расширением *.dat и т.п. шифрую путь к каталогу с этими файлами. Однако зная путь к папке ничего не стоит просмотреть эти файлы или банально скачать их используя обычный html запрос. Знаете ли вы надежный способ защитить папку, так чтобы скрипты использовали эти файлы, а гости скачать или просмотреть не смогли?

[Пепел Феникса]

а скрипты которые? серверные или клиентские?

[Alex11223]

Цитата:

Многие используют данные в текстовых файлах с расширением *.dat

кто?

Цитата:

шифрую путь к каталогу с этими файлами

что? как? зачем?

Цитата:

html запрос

и HTTP верстка.

Цитата:

Знаете ли вы надежный способ защитить папку, так чтобы скрипты использовали эти файлы, а гости скачать или просмотреть не смогли?

Не разрешать серверу отдавать их/не класть их в DocumentRoot/www/public/... директорию сервера вообще.

[rlib]

Цитата:

Сообщение от toglyatty

Знаете ли вы надежный способ защитить папку, так чтобы скрипты использовали эти файлы, а гости скачать или просмотреть не смогли?

У вас есть два уровня защиты: системный и предоставляемый web-сервером (скажем, Апачем). Вы можете дать директории

Код:

chown root:root /mysite
chmod 700 /mysite

и тогда только root может читать эту директорию.
Если же

Код:

chown apache:apache /mysite
chmod 700 /mysite

то Apache, а следовательно и все web-юзеры могут читать эту директорию.

Поэтому, защита директорий, к которым Apache имеет доступ, ложится на сам Apache и его правильную конфигурацию.

Например, в Апаче 2.6, чтобы запретить доступ к директории используется что-то типа:

Код:

<Directory /mysite>
  Deny from All
</Directory>

При использовании последней директивы, скрипты будут иметь доступ (ибо директория во владении Апача), однако юзеры не смогут иметь к ней доступ.

[toglyatty]

Сформулирую вопрос проще:
Папка с *.dat фалами обычно data в корневой директории форумов, досок объявлений и т.п. Имея исходник скрипта не сложно определить путь к ней. Например: вашсайт.ру/data/1.dat
Это банальный пример, но набрав его в строке браузера мы получим прямой доступ к данным сайта.
Как этого избежать?
Варианты 1) Поместить в каталог index.html
2) Использовать вместо имени data имя типа: fa8n7ahf65fd4nfaf
Интересуют другие надежные варианты.

[Alex11223]

Сообщения выше не читали?

Цитата:

1) Поместить в каталог index.html

Бред какой-то, а не вариант.
Два нормальных варианта написаны выше. В предыдущем сообщении один из них даже подробно описан для Apache.

[toglyatty]

Вот аналогичная тема где не стали умничать:
https://php.ru/forum/viewtopic.php?t=48084
Тема не моя просто изучал уязвимость.

[Пепел Феникса]

Цитата:

Сообщение от toglyatty

Вот аналогичная тема где не стали умничать:
https://php.ru/forum/viewtopic.php?t=48084
Тема не моя просто изучал уязвимость.

потому что в той теме сразу дали достаточно информации.
а не файлы в вакууме.

потому что
1)должны ли быть эти файлы доступны по сети?(если нет, то ответ в посте 4)
2)если да, то только определенному IP?(если да, то уже из вашей ссылке)
иначе надо продолжать думать.

вы серьезно думаете мы знаем структуру вашего проекта?
может он у вас там крупный с разбивкой на несколько машин.

так что прежде чем ставить такие высказывания, подумайте, а смогли ли вы объяснить(передать всю информацию).
если возникли вопросы, то обычно ответ нет.

[rlib]

Цитата:

Сообщение от toglyatty

Например: вашсайт.ру/data/1.dat
Это банальный пример, но набрав его в строке браузера мы получим прямой доступ к данным сайта.

Если вы сделаете

Код:

<Directory /data>
  Deny from All
</Directory>

а потом

Цитата:

но набрав его в строке браузера мы получим прямой доступ

то можете смело открывать баг-репорт в репозитории апача.

А вообще, ознакомтесь с документацией
https://httpd.apache.org/docs/2.4/mi...rity_tips.html

[toglyatty]

Откровенно говоря не хотелось бы трогать апачу. Такая уязвимость может появится на очень маленьком проекте. Например в гостевой книге и каждый раз менять настройки хлопотно, а при частых переездах и на разных платформах тем более.