Security Professionals - ipfw add deny all from eindgebruikers to any

htaccess file verwijderen verstandig?

22-10-2013, 14:27 door ecoracer, 7 reacties
Laatst bijgewerkt: 22-10-2013, 14:28
is het verstandig een htaccess file te verwijderen en wat zijn de mogelijke on/veilige gevolgen hiervan?
bestaat er een groter gevaar op hacking van je website o.i.d.?
Reacties (7)
22-10-2013, 15:07 door dack_dvh
Door ecoracer: is het verstandig een htaccess file te verwijderen en wat zijn de mogelijke on/veilige gevolgen hiervan?
bestaat er een groter gevaar op hacking van je website o.i.d.?

Meer uitleg vind je op onderstaande link: De voor- en nadelen van een .htaccess bestand

http://nieuws.mijndomein.nl/2009/12/09/de-voor-en-nadelen-van-een-htaccess-bestand/
24-10-2013, 09:56 door Anoniem
LET OP: De link waar dack_dvh naar verwijst is specifiek voor mijndomain.nl en verre van volledig.

Het wel of niet gebruiken van de .htaccess is vanuit een securitystandpunt niet relevant. Er is niet iets veiliger of minder veilig. Alle slechte implementaties/configs zijn gevaarlijk en dat geldt niet minder voor de .htaccess.

Indien je de .htaccess niet gebruikt en het in je dir staat als htaccess (zonder de punt) kan je hem beter verwijderen. Je gebruikt hem dan niet en het kan attackers meer info geven dan je zou willen. Maar (correct) toepassen kan bijzonder nuttig zijn.

Als je een eigen webserver draait met een statisch aantal domeinen kan je de .htaccess directives ook kwijt in de httpd.conf. Dit maakt de website sneller omdat het bij starten van Apache eenmalig wordt ingelezen ipv elke keer als de site wordt aangeroepen. Echter wanneer je een aanpassing wil doen dien je Apache te reloaden terwijl bij het aanpassen van de .htaccess de aanpassingen direct 'doorgevoerd' zijn.
24-10-2013, 18:18 door schele
Nee, het kan in dat opzicht geen kwaad. .htaccess kan vanalles regelen op je webserver en voor je site, maar qua security maakt het niets uit.

98% van de sites worden gehackt door slechte geupdatete of beveiligde CMS systemen zoals verouderde versies van Wordpress of Joomla gebruiken. Als je je tegen hacking wilt beveiligen pak je een bekend systeem en zorg je dat het up to date blijft, inclusief alle plugins. En zorg dat je admin login geen "admin" "password" is... ik zeg het er maar bij :)
25-10-2013, 00:39 door Anoniem
Het ligt er volledig aan wat er in staat. Dat maakt het wel of niet handig om deze te verwijderen.

Met bijvoorbeeld een Wordpress website kan je IPblacklisting / whitelisting regelen via een .htaccess file en dat is heel erg handig qua security
25-10-2013, 00:49 door [Account Verwijderd]
[Verwijderd]
25-10-2013, 10:08 door Anoniem
Het hangt ook van het configuratiebestand af van de vhost natuurlijk. Ook daar in kan je al het een en ander met beveiliging doen immers. De .htaccess is dan niets anders dan een aanvulling van instellingen die imo eigenlijk in de configuratie zouden moeten staan. Ook worden ze dan eenmalig geladen (bij het (her)starten van Apache(2)) en anders wordt elke keer de .htaccess gelezen. Het kan dus ook schelen qua performance, al is dat meer micro optimization.
28-10-2013, 16:52 door Patio - Bijgewerkt: 28-10-2013, 16:54
Joey schreef flat-file databases

Dat is een contradictio in terminis, beste Joey :-)

Een plat bestand kan nooit een database zijn, want is niet veel meer of minder dan een ouderwetse kaartenbak of een iets modernere "rolodex" (promotie is geen opzet noch intentie). dus heeft geen structuur o.i.d.

Een database is volgens de definitie "een gestructureerde gegevensverzameling...." *
* Nota bene: de rest van de definitie is in deze context irrelevant.

Als je wat voor gegevens uit je rolodex/relatieDb/enz. leesbaar (onversleuteld e/o "ongezouten") in je .htaccess-bestandje hebt opgeslagen, kun je het uit veiligheidsoverwegingen en vooral bescherming van je klanten, leverancier(s), medewerker(s) en/of partner(s) [kortom "relaties"] best verwijderen, hoewel enige vorm van versleuteling m.i. eerder voor de hand ligt.

De keus is uiteraard aan jou. Extra (tot nu toe gratis, straks mag je dokken ^_~) tip: Gebruik een codering die onbekend is bij NSA en AIVD, die ratten...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.