Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

наследование авторизации для uri

To: nginx-ru@xxxxxxxxx
Subject: наследование авторизации для uri
From: test157@xxxxxxxx
Date: Fri, 13 Jun 2008 08:56:29 +0300

вот какую штуку обнаружил:

    location /papka {
      auth_basic            "";
      auth_basic_user_file  paroli;
      alias /var/www;
    }

    location ~* ^/papka/.*\.php$ {
      proxy_pass http://127.0.0.1:82;
    }

    в результате все php файлы в директории papka можно получить без 
авторизации. может
    стоит наследовать АВТОРИЗАЦИЮ по URI на уровне сервера? ведь если
    мы знаем что /papka под паролем то можем сказать что все что
    начинается с /papka должно быть под паролем.

    тут конечно все от внимательности зависит, но в больших конфигах
    имхо без проблем можно оставить открытыми важные данные.

Follow-Ups:
- Re: наследование автор изации для uri
  - From: Igor Sysoev

Prev by Date: переопределение error_page на уровне server и location
Next by Date: Re[3]: shared на разных ip адресах
Previous by thread: переопределение error_page на уровне server и location
Next by thread: Re: наследование автор изации для uri
Index(es):
- Date
- Thread