> Hi!
>
> Вот тут возник чайниковский вопрос...
> Есть директория .../secret/ в ней лежат какие-то файлы кторые нужно отдавать
> не очень широкому кругу пользователей. Прописываем в эту директорию файл
> .htaccess:
> - --
> AuthType Basic
> AuthUserFile .../secret/.htpasswd
> AuthName secret_data
>
> <Limit GET POST>
> require valid-user
> </Limit>
> - --
> Все хорошо, кто нужно авторизовывается, кто не знает - отваливается..
> Теперь если посмотреть по URL-у то можно
> получить этот самый .htaccess файл... И если повезет, то можно добратся до
> .htpasswd - файла...
>
> Вопрос: как сделать так что-бы было нельзя получить с сервера ни .htaccess
> ни .htpasswd файлы... пробывал дописывать в вышеуказанный .htaccess что-то
>типа:
> - --
> <Files ~ "^\.(htpasswd|htaccess)$">
> deny from all
> </Files>
> - --
> Но видимо я не совсем правильно это делаю, так как все перестает работать...
> В документации на счет этого не совсем понятно написанно.
>
Самое правильное решение - это убрать все относящееся к авторизации из дерева
документов.
Я делаю так:
1. _все_ директивы доступа прописываю в acess.conf - никто не сможет их
подсмотреть или изменить.
2. в корневом каталоге сервера создаю каталог auth, в котором живут все файлы
паролей realm_htpasswd
<Directory /usr/local/www/html/secrets>
AuthName secret_data
AuthType Basic
AuthUserFile /usr/local/www/auth/secret_data_htpasswd
</Directory>
И никакой головной боли. :-))
----------------------
Best regards,
Andrew Kopeyko
akopeyko@opten.cnt.ru
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at =
