Protegendo arquivos de senha .htpasswd    Perguntar    Responder    Entrar    Cadastre-se    Topo    Fechar

Protegendo arquivos de senha .htpasswd

Aqui você verá artigos sobre PHP

Moderador: web

  Assista o vídeo    Busque no Youtube
Avatar do usuário
web
ADMIN
ADMIN
Mensagens: 16454
Registrado em: 20-01-2007 18:08
Nome: Kleber
Descrição do site: Onde você encontra scripts grátis para o seu site
Sexo: Masculino
Localização: RJ / RJ / Brasil
Contacto:

Protegendo arquivos de senha .htpasswd

Mensagempor web » 30-10-2010 13:29

Quem usar htaccess com o arquivo .htpasswd e também usa include, da forma: ?documento=teste.php está correndo um sério risco de ter o site invadido.

Isso porque o arquivo .htpasswd é lido direto, não tem proteção alguma.

E se você usa include, da seguinte forma:

<?php
extract($_GET);
include("$documento")
?>

Uma pessoa mal intencionada pode fazer o seguinte:

?documento=.htpasswd e obter todas as suas senhas.

Para proteger os arquivos .htpasswd usando include de forma segura, acesse os links abaixo

Include-seguro_15_104.html
Include-bem-seguro_15_1706.html
Se gostou do conteúdo, participe e divulgue.
0

Bluebird
Mais de 500 postagens
Mais de 500 postagens
Mensagens: 615
Registrado em: 16-02-2009 10:15
Sexo: Masculino
Localização: Ourinhos, SP

Re: Protegendo arquivos de senha .htpasswd

Mensagempor Bluebird » 28-02-2016 12:38

Olá! Como posso proteger as pastas de meu site, de maneira que não vejam os seus conteúdos (ignoro se isso tem de ser feito somente na pasta raiz ou se nas demais pastas existentes, também), mas o site seja executável pelo usuário, fazendo, este, o que lhe seja permitido fazer: navegar, cadastrar, por exemplo.

Para teste, criei um arquivo .htaccess com o conteúdo deny from all, coloquei-o na pasta raiz do site, e, ao se tentar acessar o site, surge a mensagem:

"Forbidden

You don't have permission to access /vdm_viewport/ on this server.

Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request
".

Que conteúdo deve ter o arquivo para que o usuário navegue e cadastre no site, sem, porém, conseguir visualizar o conteúdo das pastas?

Por fim, o arquivo a se utilizar no que pretendo é .htaccess, mesmo, ou .htpasswd?

Grato.
0

Avatar do usuário
web
ADMIN
ADMIN
Mensagens: 16454
Registrado em: 20-01-2007 18:08
Nome: Kleber
Descrição do site: Onde você encontra scripts grátis para o seu site
Sexo: Masculino
Localização: RJ / RJ / Brasil
Contacto:

Re: Protegendo arquivos de senha .htpasswd

Mensagempor web » 28-02-2016 13:23

Não sei se você está falando sobre o seguinte, por exemplo, você tem o endereço: http://www.site.com/arquivos/

Se não houver um index, seja .htm, .html ou .php os arquivos são mostrados no navegador. Então para proteger essa visualização seria somente colocar um arquivo index.
Se gostou do conteúdo, participe e divulgue.
0

Bluebird
Mais de 500 postagens
Mais de 500 postagens
Mensagens: 615
Registrado em: 16-02-2009 10:15
Sexo: Masculino
Localização: Ourinhos, SP

Re: Protegendo arquivos de senha .htpasswd

Mensagempor Bluebird » 01-03-2016 09:02

Sim. É sobre isso, mesmo. Mas, veja, por exemplo: http://www.site.com/pasta/outra_pasta.

Está exibindo:

Index of /pasta/outra_pasta

Parent Directory
pasta_dentro_de_outra_pasta/


Se eu clico em Parent Diretory, sou remetido ao arquivo index.php, que está em pasta.

Mas se eu clico em pasta_dentro_de_outra_pasta, exibe os arquivos nela existentes:

Index of /pasta/outra_pasta/pasta_dentro_de_outra_pasta

Parent Directory
arquivo.php


Assim, creio que se pode ver o conteúdo da pasta, ver o conteúdo do arquivo, baixar o arquivo, ou executá-lo de forma lesiva, com alterações. Ou não?
0

Avatar do usuário
web
ADMIN
ADMIN
Mensagens: 16454
Registrado em: 20-01-2007 18:08
Nome: Kleber
Descrição do site: Onde você encontra scripts grátis para o seu site
Sexo: Masculino
Localização: RJ / RJ / Brasil
Contacto:

Re: Protegendo arquivos de senha .htpasswd

Mensagempor web » 01-03-2016 10:33

Todas as pastas mesmo internas tem que ter um index. No seu caso pasta_dentro_de_outra_pasta/ tem que ter um index também.

Deixar que as pessoas vejam a estrutura do seu site "pastas e arquivos" é realmente perigoso. Por isso a necessidade de uso do index.

Existe um código que você pode colocar dentro do arquivo .htaccess para impedir a listagem de arquivos do diretório:

RewriteEngine On
Options -Indexes

Recomendo assistir esse vídeo de como proteger arquivos de senha com .htaccess

Se gostou do conteúdo, participe e divulgue.
0

Bluebird
Mais de 500 postagens
Mais de 500 postagens
Mensagens: 615
Registrado em: 16-02-2009 10:15
Sexo: Masculino
Localização: Ourinhos, SP

Re: Protegendo arquivos de senha .htpasswd

Mensagempor Bluebird » 01-03-2016 17:30

Vi o vídeo. Obrigado pela recomendação e pelo auxílio. Também inseri o código que você informou no arquivo .htaccess. Ele preservou a navegação, mas quando eu quis exibir o conteúdo da pasta, houve a mensagem de erro, conforme abaixo:

Forbidden

You don't have permission to access /pasta/pasta_dentro_da_pasta/ on this server.

Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.


Devo inserir esse arquivo .htaccess em todas as pastas, então?

A respeito do arquivo index (php ou html, tanto faz?) que você disse que também devo inserir nas pastas, ele deve ter algum conteúdo? Pode ser vazio?

Por fim, a segurança de tais procedimentos é efetiva?
0

Avatar do usuário
web
ADMIN
ADMIN
Mensagens: 16454
Registrado em: 20-01-2007 18:08
Nome: Kleber
Descrição do site: Onde você encontra scripts grátis para o seu site
Sexo: Masculino
Localização: RJ / RJ / Brasil
Contacto:

Re: Protegendo arquivos de senha .htpasswd

Mensagempor web » 01-03-2016 17:51

Quanto ao erro do htaccess ele deve ser colocado somente no diretório raiz.

Tentando acessar a pasta direto realmente mostra o erro:

Acesso Proibido!

Você não tem permissão para acessar o diretório requisitado. Pode não existir o arquivo de índice ou o diretório pode estar protegido contra leitura.

Se você acredita ter encontrado um problema no servidor, por favor entre em contato com o webmaster.

Error 403

localhost
Apache/2.4.18 (Win32) OpenSSL/1.0.2e PHP/7.0.2


Aqui nos meus testes consegui acessar o arquivo dentro da pasta pelo link normalmente.

Quanto ao arquivo pode ser qualquer formato e pode ficar vazio. Não tem problema.

Quanto a segurança proteger a visualização dos arquivos é um brecha a menos.
Se gostou do conteúdo, participe e divulgue.
0

Bluebird
Mais de 500 postagens
Mais de 500 postagens
Mensagens: 615
Registrado em: 16-02-2009 10:15
Sexo: Masculino
Localização: Ourinhos, SP

Re: Protegendo arquivos de senha .htpasswd

Mensagempor Bluebird » 01-03-2016 19:28

Não compreendi o que você disse na primeira linha, sobre o erro do .htaccess ter de ser colocado somente no diretório raiz.
0

Avatar do usuário
web
ADMIN
ADMIN
Mensagens: 16454
Registrado em: 20-01-2007 18:08
Nome: Kleber
Descrição do site: Onde você encontra scripts grátis para o seu site
Sexo: Masculino
Localização: RJ / RJ / Brasil
Contacto:

Re: Protegendo arquivos de senha .htpasswd

Mensagempor web » 01-03-2016 19:36

Por exemplo, o arquivo .htaccess serve para dar instruções ao servidor, por exemplo, URL amigáveis, proteger diretórios, etc.
Esse arquivo deve ser colocado sempre no diretório raiz do site:

public_html/
pasta1/
pasta2/
.htaccess
index.php
etc.

Não é necessário colocar o htaccess em todas as pastas do site.
Se gostou do conteúdo, participe e divulgue.
0

Bluebird
Mais de 500 postagens
Mais de 500 postagens
Mensagens: 615
Registrado em: 16-02-2009 10:15
Sexo: Masculino
Localização: Ourinhos, SP

Re: Protegendo arquivos de senha .htpasswd

Mensagempor Bluebird » 05-03-2016 06:57

Entendi. Vou procurar conhecer mais sobre esse tipo de arquivo. Testei, colocando-o na pasta raiz e constatei as demais pastas apresentarem a mensagem. Muito bom, pois essa parte da minha finalização de meu código não me tomou muito tempo e posso passar a outra. Antes, vou inserir os arquivos index em todas as pastas, como você sugeriu. Para essa finalidade do arquivo .htaccess, há necessidade de incrementar o seu conteúdo para melhorar a segurança, ou o conteúdo que você citou para impedir a listagem é suficiente para impedir a listagem dos arquivos? Digo-o sobre a necessidade de senha, por exemplo. Ou mais alguma coisa.
0

Avatar do usuário
web
ADMIN
ADMIN
Mensagens: 16454
Registrado em: 20-01-2007 18:08
Nome: Kleber
Descrição do site: Onde você encontra scripts grátis para o seu site
Sexo: Masculino
Localização: RJ / RJ / Brasil
Contacto:

Re: Protegendo arquivos de senha .htpasswd

Mensagempor web » 05-03-2016 09:16

Creio que na questão de listagem já está seguro. Mas deve-se tomar cuidado com arquivos upados para o servidor. Pois tem arquivos que se alguém colocar no servidor pode ter controle total sobre os arquivos do site.

O index of ou seja, deixar a pasta sem index é bem perigoso, veja nesse vídeo abaixo.

Se gostou do conteúdo, participe e divulgue.
0

Bluebird
Mais de 500 postagens
Mais de 500 postagens
Mensagens: 615
Registrado em: 16-02-2009 10:15
Sexo: Masculino
Localização: Ourinhos, SP

Re: Protegendo arquivos de senha .htpasswd

Mensagempor Bluebird » 05-03-2016 12:57

Beleza. Não vou conseguir ver o vídeo agora. Se puder, mantenha o post aberto. Verei o vídeo, e, talvez, necessite postar.
Também me surgiram outras dúvidas sobre o arquivo .htaccess. Obrigado pela força que me está dando.
0

Avatar do usuário
web
ADMIN
ADMIN
Mensagens: 16454
Registrado em: 20-01-2007 18:08
Nome: Kleber
Descrição do site: Onde você encontra scripts grátis para o seu site
Sexo: Masculino
Localização: RJ / RJ / Brasil
Contacto:

Re: Protegendo arquivos de senha .htpasswd

Mensagempor web » 05-03-2016 14:43

Sem problema.
Se gostou do conteúdo, participe e divulgue.
0

Bluebird
Mais de 500 postagens
Mais de 500 postagens
Mensagens: 615
Registrado em: 16-02-2009 10:15
Sexo: Masculino
Localização: Ourinhos, SP

Re: Protegendo arquivos de senha .htpasswd

Mensagempor Bluebird » 13-03-2016 16:37

Vi o vídeo. Muito bom. Também vi outros. Descobri uma ferramenta, que é um plugin para o Firefox, chamado SQL Inject Me. Eu a instalei e fiz testes, no meu código e em outros sites. Estou procurando aprender a respeito dessas invasões, para tentar evitá-las.
0

Avatar do usuário
web
ADMIN
ADMIN
Mensagens: 16454
Registrado em: 20-01-2007 18:08
Nome: Kleber
Descrição do site: Onde você encontra scripts grátis para o seu site
Sexo: Masculino
Localização: RJ / RJ / Brasil
Contacto:

Re: Protegendo arquivos de senha .htpasswd

Mensagempor web » 13-03-2016 17:06

Achei esse plugin https://addons.mozilla.org/pt-br/firefo ... inject-me/

Não conhecia. Vou testar.
Se gostou do conteúdo, participe e divulgue.
0

BUSCA RÁPIDA

Protegendo arquivos de senha .htpasswd


Voltar para “Artigos sobre PHP”

Rolar para o topo