Pokud někdo nabízí vlastní .htaccess (a rozhodně ne stylem tím, že při každé jeho změně budu kontaktovat podporu, aby mi ho milostivě povolila upravit, na to nemám většinou čas ani náladu), tak prostě půjdu tam a rozhodně ne jinam, kde mi ho nenabízej. Co se týče shazování apod. (úmyslného), to se dá vyhledat z logů a takového uživatele samozřejmě a klidně pro příště od takových funkcí "odstřelit" resp. ho vyrazit. Není to důvod pro zakázání služby úplně, nebo netrasparentního povolení až na požadavek (resp. první požadavek ano, ale ne abych musel žádat o povolení jakékoliv následné úpravy .htaccess).
Možná jde opravdu jen o to, jak kdo tvrdí, že to jde a nejde zabezpečit a nastavit, aby možností jak to nabourat bylo minimum (s mod_rewrite souhlas, ale s .htaccess nikoliv, tam to nastavit imho jde v poho). A když skutečně někomu na hostingu řeknou, že "přístup přes FTPS u nás udělat nejde", tak řeknu jenom sbohem a šáteček. Na nějaký dohadování nemám čas, jiná konkurence to má v základní nabídce.
To ze se neco masove pouziva, nemusi znamenat, ze je to dobre a spravne, podle me je to jen casovana bomba, nez se najde nakej trouba co si pro srandu bude hrat na machra, ze vam ten stroj bude schazovat atd.
Htaccess ma mnoho bezpecnostnich rizik a proto je mozne ho pri hostingu pouzit, ale ne masove a jen po domluve.
povoleny htaccess se da prirovnat k situaci, kdy je php safe mode off, funguje to, dokud se nenajde nakej sikula, nebo si nekam nnainstalujete deravej program
Je zajímavý, že to (.htaccess) výborně funguje např. na freehostinzích s desítkami tisíc registrovaných uživatelů.
Já bych mod_rewrite nepožadoval, ale .htaccess zcela určitě.
Ale jestli jde v konfiguračním rozhraní vyřešit i věci jako digest (nikoliv basic!) authentizace pro jednotlivé složky, tak to pak jo...
Mam vyhradu vuci pozadovanemu ".htaccess", dle meho nazoru a zkusenosti, je volne povoleni .htaccess velice nebezpecne na masovem webhostingu.
Ma dramaticky dopad na vykon serveru, ackoli si spousta lidi mysli, ze to neni tak dramaticke, ale vyzkousejte si rozdil na projektu s 1 000 000 pristupu denne(cokoli vcetne obrazku atd), coz neni zas tak neobvykle a nekolik takovych projektu je na kazdem webhostingu(staci plno obrazku a 10 000 zobrazeni stran a je to), pridejte k tomu ze neni primo v rootu virtualhosta, ale treba odkazuje na 3 uroven adresare "/images/ikony/smajlici" atd..., z podstaty funkce htaccess musi precist a spracovat "/images/ikony/smajlici/.htaccess","/images/ikony/.htaccess","/images/.htaccess","/.htaccess",
cili na kazdej smajlik je nutne rekurzivne sloucit a zpracovat 4 htaccess soubory.
Je velmi nebezpecny moznostmi co se tam daji nastavit,jde mirne omezit, ale ne dostatecne.
Doporuciji prostudovat "http://httpd.apache.org/docs/2.0/howto/htaccess.html", sami to dosti nedoporucuji.
viz.: "
There are two main reasons to avoid the use of .htaccess files.
The first of these is performance.
The second consideration is one of security.
"
Navic vy stejne vyzadujete mod_rewrite, coz je dalsi rana pod pas na vykonu, ale co je mnohem horsi, mod_rewrite v ramci htaccess dokaze malou chybou poslat apache k zemi, mysleno nejakym nastavenim, ktere projde syntaktickou kontrolou, ale interne je chybne interpretovano a netvrdim, ze kazda chyba toto zpusobi a dost tezko se hledaji tyto problemy, po restartu vse jede krasne a nahodou nekdo pristoupi na urcitou stranku a apache opet dole nebo sezere vsechen vykon serveru.
tzn. htaccess neni dle meho prilis dobra cesta i kdyz to jako napad vypada zajimave, mnohem lepsi je skvalitnit konfiguracni rozhrani webhostingu.
Např. největší (se divim, že tolik lidí se nechá zlákat na kdoví co) hosting servery.cz nepodporuje FTPS ani jiný šifrování, a je to absolutní ostuda!
O SSL ani nemluvě.
Obé už mají mnohé i freehostingy!!!
Za hosting bez SSL, FTPS a POP3S a nejlépe ještě IMAPS bych nedal ani halíř! Stejně tak bez vlastního .htaccess atd.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).
