.htaccess - дыра или глюк?

[[slon]]

.htaccess - дыра или глюк?

имеем папку
../tmp/index.html
../tmp/.htaccess
../tmp/.htpasswd

если вызываем файл напрямую (http://server.com/folder/tmp/index.html) - то как и следовало у нас спрашивают логин и пароль...

но вот если мы обратимся к этому файлу из предидущей директории подобным образом: http://server.com/folder/index.php?filename=tmp/index.html - то никакого пароля никто не спрашивает и выдает нам файл index.html...

- это дыра, глюк или я ламер?

 

[etc]

Re: .htaccess - дыра или глюк?

Автор оригинала: [slon]
имеем папку
../tmp/index.html
../tmp/.htaccess
../tmp/.htpasswd
если вызываем файл напрямую (http://server.com/folder/tmp/index.html) - то как и следовало у нас спрашивают логин и пароль...
но вот если мы обратимся к этому файлу из предидущей директории подобным образом: http://server.com/folder/index.php?filename=tmp/index.html - то никакого пароля никто не спрашивает и выдает нам файл index.html...
- это дыра, глюк или я ламер?

htaccess как я знаю действует только на ту дирректорию где он находится...

 

[[slon]]

Re: Re: .htaccess - дыра или глюк?

Автор оригинала: etc
htaccess как я знаю действует только на ту дирректорию где он находится...

все верно, но ведь файл который мне нужен лежит в директории с htaccess...

 

[Demiurg]

Re: Re: Re: .htaccess - дыра или глюк?

Автор оригинала: [slon]
все верно, но ведь файл который мне нужен лежит в директории с htaccess...

а так не пробовал ?
http://server.com/folder/index.php?filename=/etc/passwd
тоде дырка ?

 

[James]

Re: Re: Re: .htaccess - дыра или глюк?

Автор оригинала: [slon]
все верно, но ведь файл который мне нужен лежит в директории с htaccess...

Так ведь скрипт, который его вызывает, лежит в другой папке. Хотя я могу ошибатся.

 

[[slon]]

Re: Re: Re: Re: .htaccess - дыра или глюк?

Автор оригинала: Demiurg
а так не пробовал ?
http://server.com/folder/index.php?filename=/etc/passwd
тоде дырка ?

не совсем понял....

 

[[slon]]

Re: Re: Re: Re: .htaccess - дыра или глюк?

Автор оригинала: James
Так ведь скрипт, который его вызывает, лежит в другой папке. Хотя я могу ошибатся.

все верно - скрипт который его вызывает лежит в другой папке, но ведь я забераю необходимый мне файл из "защищенной" директории!

получается тогда что смысл .htaccess вообще непонятен... если я знаю имя файла котрый лежит в твоей директории под "защитой" .htacceess, я без проблем могу его вызвать свои скриптом???


P.S. подкрадывается ощущение что я где-то лоханулся...

 

[Demiurg]

Re: Re: Re: Re: Re: .htaccess - дыра или глюк?

Автор оригинала: [slon]
не совсем понял....

что ты называешь дыркой ?
то, что php скрипт может читать фал в директории, которая "запоролена" .htaccess'ом ?

 

[[slon]]

Re: Re: Re: Re: Re: Re: .htaccess - дыра или глюк?

Автор оригинала: Demiurg
что ты называешь дыркой ?
то, что php скрипт может читать фал в директории, которая "запоролена" .htaccess'ом ?

именно! я могу читать файл который "запаролен" .htaccess - и с меня не требуется пароль!

тоесть мне без разницы есть там .htaccess или нету! тем не менее если я обращаючь напрямую к запароленному файлу то пароль у меня спрашивается...

 

[Demiurg]

Re: Re: Re: Re: Re: Re: Re: .htaccess - дыра или глюк?

Автор оригинала: [slon]
именно! я могу читать файл который "запаролен" .htaccess - и с меня не требуется пароль!

А ты знаешь на кокой стадии работает .htaccess и какре ротношение к php он вообще имеет к php ?

 

[tolya]

Дыра не в .htacces, а в твоем скрипте, который может читать файлы на сервере. С таким же успехом можно прочитать и /etc/passwd и другие файлы на сервере.

 

[si]

TO slon:

Пишите впредь пожалуйста в форум для новичков.

 

[leosha]

Re: Re: Re: Re: Re: Re: Re: .htaccess - дыра или глюк?

Автор оригинала: [slon]
именно! я могу читать файл который "запаролен" .htaccess - и с меня не требуется пароль!
тоесть мне без разницы есть там .htaccess или нету! тем не менее если я обращаючь напрямую к запароленному файлу то пароль у меня спрашивается...

наличие .htaccess с директивой AuthType Basic
говорит Апачу, чтобы при обращении по HTTP, был выдан запрос на HTTP-authentication

Т.е. доступ ограничивается только при запросе HTTP, что неудивительно т.к. Апач все-таки веб-сервер.

Если ты в своем скрипте сделаешь не чтение/вывод файла, а просто редирект на нужный файл, то будет у тебя запрос пароля..