nicht angemeldet
Verzeichnis-Browsing
Hallo Zusammen,
Ich habe in einem Intranet-WEB-Verzeichnis einen "geschützten Memberbereich", wo bestimmte User nur bestimmte Seiten sehen sollen. Das funktioniert auch ohne Probleme.
Nun meine Frage:
Das Verzeichnis-Browsing ist zentral verboten. Dadurch dass die Anmeldeseite INDEX.HTM heißt, kann man also "so ohne weiteres" die Inhalte in dem entsprechenden WEB-Verzeichnis nicht sehen. Wie sicher ist dieses ausgeschaltete Verzeichnis-Browsing. Kann man mit entsprechenden Tools und genügend "krimineller Energie" unter Umständen doch die Verzeichnis-Inhalte auflisten??
Ich bin für jeden Tipp dankbar!
(eigentlich klar - sonst würd ich ja nicht fragen... :-)) )
Lutz
-
Grüssi,
Das Verzeichnis-Browsing ist zentral verboten. Dadurch dass die Anmeldeseite INDEX.HTM heißt, kann man also "so ohne weiteres" die Inhalte in dem entsprechenden WEB-Verzeichnis nicht sehen. Wie sicher ist dieses ausgeschaltete Verzeichnis-Browsing. Kann man mit entsprechenden Tools und genügend "krimineller Energie" unter Umständen doch die Verzeichnis-Inhalte auflisten??
Es gibt einige Tools die das machen können, Webcopier beispielsweise. Der zeigt dir die gesamte Website an, lädt sämtliche Files auf deinen PC herunter, und erstellt einen Site-Baum. Spiel allerdings für'n Anfang nicht gleich auf amazon.com herum damit ;-)
http://www.maximumsoft.com/downloads/
Grundsätzlich gilt, wie immer im Web: Verstecken kann man nix und niemanden, wer die geeigneten Mittel und Wege kennt, der kann alles sehen was er will. Aber die index.html oder die Apache-Directory-Einstellungen bieten IMHO einen ausreichenden Schutz, gegen Alltags-Klauer. Gegen Profis hilft alles nix, die wissen was sie wollen, und kommen auch dorthin wo sie es bekommen.
lg regenfeld
-
Hi,
Es gibt einige Tools die das machen können, [...]
wobei man erwähnen sollte, dass diese Tools keine Ressourcen finden können, die nirgendwo verlinkt ist. Der HTTP-Server gibt jedenfalls garantiert keine Verzeichnisauflistung her, wenn (z.B.) eine Default-Datei existiert.
Grundsätzlich gilt, wie immer im Web: Verstecken kann man nix und niemanden, wer die geeigneten Mittel und Wege kennt, der kann alles sehen was er will.
Wenn irgendjemand die Existenz einer Ressource preisgibt, ist sie bekannt. Per Basic Authentication kann man den Zugriff Restriktionen unterwerfen; wenn man das nicht macht, ist die Ressource jedem verfügbar, der ihre URL kennt.
Aber die index.html oder die Apache-Directory-Einstellungen bieten IMHO einen ausreichenden Schutz, gegen Alltags-Klauer. Gegen Profis hilft alles nix,
Auch Profis können dem Server nichts abverlangen, was der auf Deubel komm raus nicht preisgibt.
die wissen was sie wollen, und kommen auch dorthin wo sie es bekommen.
Ja - die nehmen dann den FTP-Server[1] :-) Per HTTP gibt es jedoch keine Alternative. Wird das Verzeichnis im Browser nicht angezeigt, wird es _nie_ angezeigt. Dennoch: das schützt *auf keinen Fall* vor unerlaubtem Zugriff.
Cheatah
[1] Falls einer installiert ist, Zugriff auf das Verzeichnis bietet und der entsprechenden Person denselben auch erlaubt.
-