空のindex.html / index.phpを使用するとどのくらい安全ですか？

Question

空のindex.htmlをWebサーバー上の特定のディレクトリに配置すると、Webブラウザはそのディレクトリのファイルリストを表示しません。しかし、ファイルの一覧表示を防ぐ以外の目的で十分に安全ですか？不要なユーザーがそのディレクトリ内のファイルリストを表示したり、ファイルにアクセスしたりするための簡単な方法は他にありますか？

「偶然のクラッカー」と個人のWebサイトの範囲を維持しましょう。

編集：この質問は似ていますが、サブフォルダーへのアクセスに関するものだと思います：ルートフォルダーに空のindex.htmlがある場合、Webサーバーからフォルダーを一覧表示することは可能ですか？

user10211 · Accepted Answer

あなたが説明する方法について本質的に安全でないものは何もありません。ただし、これはディレクトリの参照を防止する適切な方法ではありません。特に数十のディレクトリを管理している場合は、空のindex.htmlまたはindex.phpファイルをディレクトリに追加するのを忘れがちです。

代わりに、ディレクトリのインデックス作成をオフにするようにWebサーバーを適切に構成する必要があります。

これを行うには、httpd.confのIndexes行からOptionsディレクティブを削除します。特別なディレクトリのディレクトリの内容を一覧表示する必要がある場合は、.htaccessファイルを使用して個々のディレクトリに上書きできます。

LSerni · Answer

空のインデックスファイルで十分です。しかし、それを行う適切な方法はディレクトリのインデックス作成を無効にするです（Apache Webサーバーでは、vhostオプションにIndexesを追加してnotを実行します）。

これは、ディレクトリごとにそれを行うと、「保護」する必要があるallディレクトリに対してそれを行うことを忘れがちになるためです。また、デフォルトのインデックスページ名が変更された場合（たとえば、index.htmlからindex.php なし .htmlフォールバック）。これにより、ディレクトリが判明しますもはや必要ありませんデフォルトのインデックス。