Нужно ли прятать папку куда сохраняются файлы сессий

@djason · Регистрация: 23.08.2012

Author24 — интернет-сервис помощи студентам

Здравствуйте друзья. И снова я с вопросами о безопасности.
В сети начитался о том что к файлам сайта можно обратиться с помощью скрипта из вне, как например к файлам сессий и если фалы сессий хранятся на одном сервере со злоумышленником. Допустим я сохраняю файлы сессий не в общем месте где хранятся все файлы сессий на сервере, а в своей корневой директории:
Сервер->общие файлы сессий = общий доступ //так делать неправильно как я понял
Теперь вопрос? Какова вероятность, что можно обратиться к папке с сессиями как в примере ниже:
мой сайт->мой каталог->папка сессий->сессии<-скрипт из вне
Дело в том что я решил вопрос со статичной папкой и отследить ее невозможно теперь так как при каждом запросе имя папки с сессиями меняется, все это работает неплохо, но как по мне будет нагружать сервер по мере возрастания запросов. Поэтому возник такой вопрос, если папка с сессиями хранится в корневом каталоге с моим сайтом ну или в подкаталогах и обратиться к ней с помощью скрипта из вне невозможно то нужно ли это, а именно динамическую папку для сессий? Хотелось бы услышать мнение знающих людей и аргументированные ответы, а ни типа "Да"-"Нет".

@PavelPol · 03.05.2017, 22:27

Не нужно ничего выдумывать, все что нужно сделать - поставить правильные права на такие папки и запретить доступ к ним через http. А если у "злоумышленника" права root, то тут уж ничего не поможет.
Можно перенести сессии в базу данных, как вариант. Но своих минусов тоже не мало, например производительность упадет.

@djason · 04.05.2017, 07:18 **[ТС]**

PavelPol, тоесть заливать файлы на Unix систему а не на Windows, а если у меня сайт на Windows системе как ограничить доступ к папке с помощью htaccess можно? Если можно, то приведите примьер.

@PavelPol · 04.05.2017, 07:30

Я бы не советовал размещать сайт под Windows. В этом случае вообще трудно говорить о безопасности.

По поводу разграничения прав - так win тоже умеет это.

@djason · 04.05.2017, 08:55 **[ТС]**

PavelPol, а можно в примерах от вас посмотреть, пару строк для Unix системы и пару строк для Windows, чтобы понять как правильно?

@PavelPol · 05.05.2017, 22:20

Пару строк в виде кода я не подскажу, это больше относится к настройке сервера "руками".
Но на PHP, например, функция chmod под Linux устанавливает права на директорию. Права выставляются в зависимости от того, под каким пользователем запущено ПО сервера. Обычно это www-data.
На win тоже есть WinAPI функции для этого.

А руками это настраивается через команду chmod/chown на *nix и через интерфейс "Безопасность" в настройке папок под win.

@djason 6 / 5 / 3 Регистрация: 23.08.2012 Сообщений: 143
		1
	Нужно ли прятать папку куда сохраняются файлы сессий 03.05.2017, 17:06. Показов 924. Ответов 5 Метки нет (Все метки) Здравствуйте друзья. И снова я с вопросами о безопасности. В сети начитался о том что к файлам сайта можно обратиться с помощью скрипта из вне, как например к файлам сессий и если фалы сессий хранятся на одном сервере со злоумышленником. Допустим я сохраняю файлы сессий не в общем месте где хранятся все файлы сессий на сервере, а в своей корневой директории: Сервер->общие файлы сессий = общий доступ //так делать неправильно как я понял Теперь вопрос? Какова вероятность, что можно обратиться к папке с сессиями как в примере ниже: мой сайт->мой каталог->папка сессий->сессии<-скрипт из вне Дело в том что я решил вопрос со статичной папкой и отследить ее невозможно теперь так как при каждом запросе имя папки с сессиями меняется, все это работает неплохо, но как по мне будет нагружать сервер по мере возрастания запросов. Поэтому возник такой вопрос, если папка с сессиями хранится в корневом каталоге с моим сайтом ну или в подкаталогах и обратиться к ней с помощью скрипта из вне невозможно то нужно ли это, а именно динамическую папку для сессий? Хотелось бы услышать мнение знающих людей и аргументированные ответы, а ни типа "Да"-"Нет". 0

@PavelPol 56 / 54 / 33 Регистрация: 05.11.2014 Сообщений: 259
	03.05.2017, 22:27	2
	Не нужно ничего выдумывать, все что нужно сделать - поставить правильные права на такие папки и запретить доступ к ним через http. А если у "злоумышленника" права root, то тут уж ничего не поможет. Можно перенести сессии в базу данных, как вариант. Но своих минусов тоже не мало, например производительность упадет. 1

@djason 6 / 5 / 3 Регистрация: 23.08.2012 Сообщений: 143
	04.05.2017, 07:18 [ТС]	3
	PavelPol, тоесть заливать файлы на Unix систему а не на Windows, а если у меня сайт на Windows системе как ограничить доступ к папке с помощью htaccess можно? Если можно, то приведите примьер. 0

@PavelPol 56 / 54 / 33 Регистрация: 05.11.2014 Сообщений: 259
	04.05.2017, 07:30	4
	Я бы не советовал размещать сайт под Windows. В этом случае вообще трудно говорить о безопасности. По поводу разграничения прав - так win тоже умеет это. 1

@djason 6 / 5 / 3 Регистрация: 23.08.2012 Сообщений: 143
	04.05.2017, 08:55 [ТС]	5
	PavelPol, а можно в примерах от вас посмотреть, пару строк для Unix системы и пару строк для Windows, чтобы понять как правильно? 0

@PavelPol 56 / 54 / 33 Регистрация: 05.11.2014 Сообщений: 259
	05.05.2017, 22:20	6
	Пару строк в виде кода я не подскажу, это больше относится к настройке сервера "руками". Но на PHP, например, функция chmod под Linux устанавливает права на директорию. Права выставляются в зависимости от того, под каким пользователем запущено ПО сервера. Обычно это www-data. На win тоже есть WinAPI функции для этого. А руками это настраивается через команду chmod/chown на *nix и через интерфейс "Безопасность" в настройке папок под win. 1