Может ли кто-то получить доступ к файлам сайта кроме хостинг провайдера?

Question

[weranda]

Приветствую

Предположим. Есть доменное имя и несколько файлов сайта с базой данных, размещенных у популярного в РФ хостинг-провайдера. Файлы расположены не в корне сайта, а во вложенной папке – site.com/path/path/files. На главной странице сайта кроме загрушки в виде картинкЕ в html файле нет более ничего. Файл robots.txt запрещает сканирование сайта. Могут ли идейные люди получить доступ к файлам размещенных во вложенных папках или каким-либо образом получить доступ к структуре сайта, чтобы потом попытаться получить доступ к самим файлам? Если смогут, тогда каким образом | способом возможно надежно скрыть такие папки | файлы, чтобы максимально усложнить жизнь вот таким идейным людям и хотя бы умышленно-осознано ощущать душевное чувство надежной сохранности данных? В файлах нет ничего такого, просто база данных заказов из магазина.

На ум приходит только несколько простых действий по настройке .htaccess, robots.txt и настройке доступа с определенных IP-адресов.

Answer 1

[Sanes]

Могут. У вас же есть доступ? Значит и у других может быть. Кража паролей, ошибки в безопасности сервера или приложения. Терморектальный криптоанализ в конце-концов.

Comments

[Roman K]

Нельзя самую эффективную штуку называть "в конце концов".

Answer 2

[nirvimel]

На ум приходит только несколько простых действий по настройке .htaccess, robots.txt

robots.txt - не имеет никакого отношения к разграничению доступа, это просто некое соглашение между гугл-ботом и владельцем сайта, позволяющие не усложнять жизнь друг другу.
.htaccess - это и есть конфиг Apache, определяющий как веб-сервер обрабатывает HTTP-запросы и что, как и кому (авторизация/сессии юзеров) отдает в ответ. Веб-сервер можно заставить отдавать/не_отдавать содержимое файловой системы как угодно. В общем случае содержимое "сайта" (такое расплывчатое понятие) "показываемое" (доступное) HTTP-клиенту совсем не обязательно повторяет структуру каталогов в файловой системе сервера (представление о том что веб-сервер "открывает" содержимое файловой системы в Сеть исторически сложилось благодаря соответствующей архитектуре Apache, который изначально разрабатывался для статических сайтов).
Даже без всякого конфигурирования .htaccess на всех серьезных хостингах по умолчанию публично открыто только содержимое public_html (только на совсем школьных хостингах публичный доступ идет от корня по умолчанию), все что находится выше по уровню недоступно со стороны Сети (если только специально не открыть через .htaccess).

spoiler

Могут ли идейные люди ...

Много таких "идейных" по весне оттаяло. Везде они могут получить доступ (на словах), хацкеры диванные, попугаи-попугайчики.

Answer 3

[Пума Тайланд]

Ну просто засканил и скачал все файлы, а с чего вы взяли что файл роботс мне что то запрещает

Comments

[weranda]

Пума Тайланд А как можно засканить все файлы, если стартовая страница сайта пустышка, а каталог в котором размещены файлы вам не известен и листинг запрещен в htaccess?

[Пума Тайланд]

weranda: ну наверно методом математического тыка

[Олег Nerwin]

Пума Тайланд: c8sw7ij9e6c2gu8bu5xqctuy.zip удачи в тыканье=)

[Пума Тайланд]

Олег Nerwin: ну вот приложите скриншот ваших реальных файлов я еще ни одного человека не встречал который бы так именовал свои файлы, если уж ухищренно подходить то проще пароль на папку сложный поставить и не париться

[Олег Nerwin]

Пума Тайланд: называю так файлы если хочу с кем то поделиться, кидаю на веб сервер, кидаю человеку ссылку. Без ссылки найти его нереально. Веб сервер стоит в паре метров и до него гигабит, быстрей чем в облака заливать

[Пума Тайланд]

Олег Nerwin: ну это же фигня надуманная защита сольется где нить ссылка и ваш файл в паблике, такая защита для лохов, не имеющая отношения к секьюрность.

[Олег Nerwin]

Пума Тайланд: суть не в надежности, а в быстром способе передать пару гиг другому человеку. Тоже самое что в дропбокс файл загрузить и ссылкой поделиться, только скорость выше

[Пума Тайланд]

Олег Nerwin: ну если вы делитесь фигней то какая разница найдет её кто нибудь или не найдет. пусть хоть в паблике лежит на главной

[Error_403_Forbidden]

Олег Nerwin: заблуждаешься. Это "шифрование" называется "Security through obscurity".
Почитай https://ru.wikipedia.org/wiki/%D0%91%D0%B5%D0%B7%D...

[Пума Тайланд]

Error_403_Forbidden: ну фигня же ни одного решения крупного на этом не построенно не просто же так

[Олег Nerwin]

Пума Тайланд: все сервисы, где можно с кем то делиться используют такой способ. Доступ у кого есть ссылка. Конечно то, что это всегда открытым текстом передается - плохо

[Пума Тайланд]

Олег Nerwin: ну там оно сделано совсем для другого
на вскидку с генеренными урлами помню витрансфер, но там урлы короткие я могу грабануть файлы перебором.

Answer 4

[xmoonlight]

Шифруйте каждую запись открытым ключом, дайте имена файлам:
a2c4d612e1aac5.bin
никто даже и не будет пытаться смотреть что там....
А даже при попытке посмотреть - ничего интересного всё равно не увидит, т.к. расшифровать это можно только с помощью приватного ключа.
https://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D...