Corsi on-line

Configurare Apache per rendere più sicure le proprie pagine

Una cosa che proprio non mi piace nell’installazione predefinita di Apache (versione 2) in numerose distribuzioni di Linux, è il modo in cui gestisce di default il modulo PHP per il parsing dei file con estensione “.php”; in particolare sto parlando della seguente direttiva:

<IfModule mod_mime.c>
AddHandler application/x-httpd-php .php
AddHandler application/x-httpd-php-source .phps
</IfModule>

Il motivo per il quale questa configurazione non mi piace sta nel fatto che essa consente di eseguire nello stesso modo file con estensione “.php” che file con doppia estensione, ad esempio “.php.txt”, un’opportunità che ritengo troppo ghiotta per che desidera attaccare un sito Web.
Il problema descritto potrà essere evitato, o se non altro limitato, utilizzando la seguente direttiva al posto di quella vista in precedenza:

<IfModule mod_mime.c>
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
</IfModule>

Come potete notare, nella seconda direttiva abbiamo utilizzato “AddType” in luogo di “AddHandler”, in questo modo il Web server saprà quali estensioni ritenere valide e quali no.

Post correlati
I più letti del mese
Tematiche