Добрый день, господа.
Подскажите, пожалуйста, может кто сталкивался
или натолкнет на мысль,
есть такая конструкция:
имеется сайт www.domain.com
на есть запороленная зона
www.domain.com/members/
аутентификация идет с помощью
mod_auth_mysql
собственно нжинксом отдается вся статика,
а скрипты на апач направляются.
Все работает замечателно, за исключением следующего
если каким-то образом узнать название любого файла в запароленной зоне, то
естественноб ез всякой авторизации можно тянуть файлы типа
www.domain.com/members/file.zip и т.д.
подскажите как можно избавится от такой ситуации.
Спасибо.
Вот конфигурация Nginx.
server {
access_log logs/split-logs/domain.log;
listen xx.xx.xx.xx;
server_name domain.com www.domain.com;
ssi on;
ssi_silent_errors on;
error_page 404 /errors/404.php;
error_page 403 /errors/403.html;
location / {
root /home/domains/domain.com;
index .htaccess index.php index.html;
}
location /errors {
root /home/domains/errors;
index 404.php;
}
location ~* ^.+\.(php|cgi|html)$ {
proxy_pass ;
proxy_set_header HOST $host;
proxy_set_header X-Real-IP $remote_addr;
}
location ~ /\.ht {
proxy_pass ;
proxy_set_header HOST $host;
proxy_set_header X-Real-IP $remote_addr;
}
}
--
Best regards,
Roman mailto:sirotar@xxxxxxx
