ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re[2]: наследование авторизации для uri



Hello Igor,

Friday, June 13, 2008, 9:23:53 AM, you wrote:

> On Fri, Jun 13, 2008 at 08:56:29AM +0300, test157@xxxxxxxx wrote:

>> вот какую штуку обнаружил:
>> 
>>     location /papka {
>>       auth_basic            "";
>>       auth_basic_user_file  paroli;
>>       alias /var/www;
>>     }
>> 
>>     location ~* ^/papka/.*\.php$ {
>>       proxy_pass http://127.0.0.1:82;
>>     }
>> 
>>     в результате все php файлы в директории papka можно получить без 
>> авторизации. может
>>     стоит наследовать АВТОРИЗАЦИЮ по URI на уровне сервера? ведь если
>>     мы знаем что /papka под паролем то можем сказать что все что
>>     начинается с /papka должно быть под паролем.

> А почему только авторизацию, а не всё ?

когда я это писал подумал что наследование других параметров будет
както мешать, точнее создавать лишние проблемы. а выключить
авторизацию всегда можно через off. но намек понял )

>>     тут конечно все от внимательности зависит, но в больших конфигах
>>     имхо без проблем можно оставить открытыми важные данные.

> В больших конфигах удобно, когда все locaiton'ы независимы.
> Поверьте, у меня есть конфиги с сотней location'ов в одном сервере.

окей )




 




Copyright © Lexa Software, 1996-2009.