ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

наследование авторизации для uri



вот какую штуку обнаружил:

    location /papka {
      auth_basic            "";
      auth_basic_user_file  paroli;
      alias /var/www;
    }

    location ~* ^/papka/.*\.php$ {
      proxy_pass http://127.0.0.1:82;
    }

    в результате все php файлы в директории papka можно получить без 
авторизации. может
    стоит наследовать АВТОРИЗАЦИЮ по URI на уровне сервера? ведь если
    мы знаем что /papka под паролем то можем сказать что все что
    начинается с /papka должно быть под паролем.

    тут конечно все от внимательности зависит, но в больших конфигах
    имхо без проблем можно оставить открытыми важные данные.




 




Copyright © Lexa Software, 1996-2009.