Significato porzione Htaccess

[deodio83]

Salve a tutti.
Potrei sapere che fa questa parte di file htaccess?
Non ci sono strumenti validi per testarlo senza prima caricarlo... perciò vorrei chiedere se la mia interpretazione è corretta o meno.


Secondo me se nella request uri è presente un file .php o .ini o .xml contenuto all'interno delle cartelle elencate allora si viene riderezionati alla pagina index.php CORRETTO ?


RewriteCond %{REQUEST_URI} \.php|\.ini|\.xml [NC]
RewriteCond %{REQUEST_URI} \/components\/ [OR]
RewriteCond %{REQUEST_URI} ^\/includes\/|^\/administrator\/includes\/ [OR]
RewriteCond %{REQUEST_URI} \/language\/ [OR]
RewriteCond %{REQUEST_URI} \/libraries\/ [OR]
RewriteCond %{REQUEST_URI} \/modules\/ [OR]
RewriteCond %{REQUEST_URI} \/plugins\/ [OR]
RewriteCond %{REQUEST_URI} \/templates\/ [OR]
RewriteCond %{REQUEST_URI} \/xmlrpc\/
RewriteRule ^(.*)$ index.php [F,L]

[deodio83]

UP per me...


cortesemente rispondetemi vorrei capire quali inoltre se lo script fa la stessa cosa di quest altro.





RewriteCond %{REQUEST_URI} \.php|\.ini|\.xml [NC]
RewriteCond %{REQUEST_URI} \/components\/ [OR]
RewriteCond %{REQUEST_URI} ^\/includes\/|^\/administrator\/includes\/ [OR]
RewriteCond %{REQUEST_URI} \/language\/ [OR]
RewriteCond %{REQUEST_URI} \/libraries\/ [OR]
RewriteCond %{REQUEST_URI} \/modules\/ [OR]
RewriteCond %{REQUEST_URI} \/plugins\/ [OR]
RewriteCond %{REQUEST_URI} \/templates\/ [OR]
RewriteCond %{REQUEST_URI} \/xmlrpc\/
RewriteRule .* serate/index.php [F,L]  o dovrei mettere [L,F]

[BelinBelan]

Ciao deodio83,

a occhio e croce.. ma non ne sono sicuro, mi pare roba che viene dal passato...  dai tempi di Mambo direi..

[deodio83]

Quello che vorrei fare io è bloccare l'accesso diretto a file di determinate cartelle tramite il file htaccess su un sito che gestisco ...mi sembra che questo script vada bene te che dici ?


oppure se hai dei suggerimenti dimmi pure.


Grazie

[BelinBelan]

Se ti sembra che vada bene provalo! 

Così fdai anche da "debugger": vedi che fa, come lo fa e se ti serve o meno e in base ai tuoi test fai le apposite domande qui 

Io credo non vada bene, ma solo la prova sul campo ce lo può dire!

[deodio83]

L'ho provato effettivamente cercando di accedere a file php xml ini delle cartelle incluse nello script dentro .htaccess blocca i contenuti.


Ora la domanda è questa come deve finire il RewriteRule all'ultima riga con [L,F] o [R=403,L] ?


Se te non lo sai spero che risponda qualcuno che ha conoscenze di queste scritture del file htaccess.


Grazie

[BelinBelan]

Se ti funziona è ok, ma devi provare anche il resto delle funzioni, sia backend che frontend per evitare sorprese! 

R=403 rispondi con un errore 403 ovviamente

L stoppi il processo  e R senza specificare niente "risponde" per default con un 302 

a naso quindi direi R=403... ma a naso ovviamente! 

[deodio83]

Percio se metto [F,L] è corretto oppure posso mettere [L,F]
speriamo qualcuno risponda dandomi certezze...

[tomtomeight]

Prova questo

Codice: [Seleziona]

RewriteCond%{REQUEST_URI} ^/images/ [NC,OR]
RewriteCond%{REQUEST_URI} ^/media/[NC,OR]
RewriteCond%{REQUEST_URI} ^/logs/[NC,OR]
RewriteCond%{REQUEST_URI} ^/tmp/
RewriteRule.*\.(phps? |sh|pl|cgi|py)$-[F]


[deodio83]

Beh non vorrei proprio stravolgere il mio script perche questo sembra blocchi altre cartelle ...che a me non servono ... vorrei semplicemente capire come terminare lo script che gia ho testato


[R=403,L] o [L,F] o [F,L]

[BelinBelan]

Io per non saper leggere o scrivere userei [F] Forbidden altrimenti [R=403, L] mi pare ok 

oh più di così!!! 

[tomtomeight]

Le cartelle cambi nome io più che altro ti ho mostrato la struttura, ma vedi che più che bloccare le cartelle lo script ti blocca l'esecuzione dei file con le estensioni indicate.

[deodio83]

lo script che mi avete postato non funziona non fa il redirect ma si blocca prima ...

[tomtomeight]

Non hai esplicitato lo scopo, che penso sia per motivi di sicurezza, allora nulla di meglio che bloccare e basta senza offrire altre informazioni circa errori redirect che spieghino cosa o come, a mio parere solo armi per prendere  contromisure da parte di chi attacca.

[deodio83]

Certo il sito del ristorante che sto manutenendo ho subito un attacco e vorrei bloccare accessi diretti a determinate cartelle ....


ma il tuo script non mi ha aiutato ..io uso http://htaccess.madewithlove.be/ per testare i file htaccess

[tomtomeight]

Fidati che funziona, tu prova ad eseguire un file .php in una cartella elencata e vedi se lo esegue.

[deodio83]

Io li leggo .phps
in ogni caso come mai alla fine il redirect finisce con [F] e non con [L,F] o simili ?

[tomtomeight]

Quello è codice preso in rete, per lo più mi limito a testarlo e non mi chiedo il significato, se proprio mi và faccio una ricerca in rete se proprio mi serve sapere. Tu provalo o se ci tieni vai a http://httpd.apache.org/docs/2.2/howto/htaccess.html

[deodio83]

beh certo io però sto cercando di capire cosa usare come  parte finale del mio script che già sembra andare


[R=403,L] o [L,F] o [F,L]


qualcuno è in grado di rispondermi ?

[mmleoni]

quanta roba avete scritto 


[F]


Last è implicito nella direttiva; seppur pleonastico è però invalso l'uso di scrivere [L, F], magari più che altro dai non esperti (come sempre si guarda alla massa, non a chi scrive  [size=78%]).[/size]


quanto al codice postato da tomtom, ce ne sono diverse varianti. una si può trovare anche sul mio sito in un articolo relativo alla falla di sicurezza dell'editor JCE: ovviamente è spiegato e commentato e ovviamente finisce con [F].

Secondo me se nella request uri è presente un file .php o .ini o .xml
RewriteCond %{REQUEST_URI} \.php|\.ini|\.xml [NC]

no, non vuol dire esattamente quello la regex inserita...


ciao,
marco