Сокрытие расширения PHP файлов?

Question

[sasha1992]

Вычитал в документации про Сокрытие PHP. Возникла идея, а что если в .htaccess запретить выполнение скриптов по стандартным расширениям и сделать так, чтобы php запускался через *.habr, например вот так:

AddType application/x-httpd-php .habr
<Files ~ "\.(php[2-5]?|cgi|pl|fcgi|fpl|phtml|shtml|asp|jsp)$">
    Deny from all
</Files>

Собственно вопрос вот в чем, сильно ли увеличивается от этого защищенность системы или бессмысленно это делать?

Answer 1

[FanatPHP]

Этот дебильный раздел давно надо бы убрать из документации.
Потому что никакая защищенность от этого не повышается.

Не говоря уже о том, что уже много-много лет стандартом де-факто является адресация через ЧПУ, при которой никаких .php файлов в любом случаеснаружи не видно.

Comments

[sasha1992]

Это понятно про ЧПУ, но а если кто будет пытаться, используя например уязвимость в файловом менеджере, залить на сервер скрипт .php для своих темных дел. То в данном случае хоть какая то безопасность наверно есть или опять же я ошибаюсь?

[Шаров Дмитрий]

sasha1992: дак тогда и латай дыры в файловом менеджере, а не пиши костыли

[FanatPHP]

sasha1992: ты бы был точнее с формулировками. Получается, что тебя интересует не "сокрытие", а запрет на исполнение. В этом случае да - профит может быть. Но опять же, в том варианте, который предложил Сергей Протько - не играемся с переименованием, а тупо ставим исполнение РНР для только одного локейшена, состоящего из единственного файла.

[Алексей Ярошевич]

Там в доке классный ответ есть про сокрытие php и apache: apt-get uninstall apache php

Answer 2

[Сергей Протько]

Организуем одну точку входа (index.php например) и разрешаем выполнять только этот файл. Маршрутизацию организуем же какими-нибудь компонентами готовыми, благо нынче с ними проблем нет. И не нужно выдумывать никаких извращений.

Answer 3

[He11ion]

Имеет смысл только при комплексном подходе к защите, да еще и X-Powered-By Вас выдаст с головой скорее всего.

Лучший совет по безопасности - ежедневные обновления всего из надежных источников, имхо.

Comments

[FanatPHP]

И в чем же будет этот смысл? И что к нему добавит это "скрытие"?

[FanatPHP]

обновления чего? Собственноручно написанного кода?

[He11ion]

Обновления ПО сервера и всего окружения, очевидно.

Сокрытие текущих версий затруднит атаку "в лоб", через известные уязвимости конкретных версий.

[FanatPHP]

никто не мешает "в лоб" пробовать все существующие уязвыимости, тем более, что они, для удобства скрипт-киддис, собраны в не требующие участия головного мозга "тестеры". В любом случае, уязвимость похапе-сайтов на 99% кроется в похапе говнокоде. Так что сервер обновляй-не обновляй...

[He11ion]

Безусловно, куча народу до сих пор пользуется 5,3 без каких-либо фиксов, образца пятилетней давности, так что и совет - обновлять все по мере выпуска патчей и заплаток на бреши в ПО.