0

Заголовок attachment через .htaccess

Простая инструкция по установке загаловка attachment, для загрузки файлов, с помощью файла .htaccess.

Предположим, что нужно сделать загрузку файлов с расширением .php, например, чтобы произвести установку новых пакетов на сервер при помощи этого файла. Сервер по умолчанию будет пытаться выполнить php-файл по прямой ссылке. Чтобы этого не произошло, создадим в целевой директории, где лежат файлы .php, новый файл .htaccess:

touch /path/to/dir/.htaccess

Откроем его на редактирование:

nano /path/to/dir/.htaccess

И добавим в него следующие строки:

<filesMatch "\.(htm|php)$">
<ifModule mod_headers.c>
 ForceType application/octet-stream
 Header set Content-Disposition attachment
</ifModule>
</filesMatch>

Continue Reading

0

Заголовки сервера Apache, делаем безопаснее

Есть немаловажный момент связанный с безопасностью сервера, а следовательно и сайтов на нём расположенных… касается он информации отдаваемой в заголовках. Рассмотрим самые интересные, а зачастую и исчерпывающе-информативные заголовки: Server и X-Powered-By.

Заголовок Server может поведать нам о сервере, операционной системе, версии PHP и даже некоторых модулях. Думаю, что пагубность такой информации объяснять не нужно, ибо совершенного софта не бывает.

Заголовок X-Powered-By может наделить нас знанием о версии PHP, например. Опять же — лишняя брешь в безопасности.

Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny9 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g
X-Powered-By: PHP/5.2.6

Есть несколько путей решения проблемы:

  • пересборка Apache с изменённым параметром AP_SERVER_BASEPRODUCT в файле include/ap_release.h;
  • изменение директивы SecServerSignature при установленном mod_security;
  • правка заголовков при помощи mod_headers.
  • редактирование файлов конфигурации Apache и PHP.

Continue Reading