Конфиг NGNIX

rinat02 · 30.Сентябрь.2019 04:06:27

25/09/19 в рассылке пришло предупреждение о проблеме с конфигом ngnix и порядок действий, при наличии проблемы:
“Для её решения вам понадобится помощь администратора сервера. Скорее всего, у вас веб-сервер nginx, который настроен больше полутора лет назад. На Apache и Apache + nginx такая проблема не возникала.”

Переслал в поддержку, получил ответ:
"Если файл размещён в указанном каталоге сайта https://example.com/store/var/test.txt то файл ДОЛЖЕН открываться по такому URL и другого просто не может быть. Это задача веб-сервера nginx, который и занимается отдачей статических файлов на сервере хостинга. Иначе бы ваш сайт попросту работал бы не корректно из-за того что не открывались бы файлы css-стилей, js-скриптов, изображений и т.д

На нашем сервере хостинга используется классическая связка nginx + apache.

Если у вас есть необходимость закрывать к каким-либо файлам прямой доступ по URL, вы можете использовать файл .htaccess для этого, размещается .htaccess в необходимом каталоге и указывая правила запрета для веб-сервера apache.
При этом чтобы обрабатывать правила запрета статичных файлов в .htaccess, в настройках веб-сервера apache предстоит принудительно включать только apache вместо nginx."

Короче, или htaccess или ngnix??

snot1rod · 30.Сентябрь.2019 10:09:18

А какую цель вы преследуете?

fox606 · 30.Сентябрь.2019 18:01:10

Так писали вроде что только на nginx эта проблема возникает, nginx+apache не затрагивает.

t-master · 30.Сентябрь.2019 19:31:57

В реальности, к сожалению, затрагивает

alexa · 30.Сентябрь.2019 22:36:39

Поясните, не соображу что-то. Если в каталоге var можно открыть файл по такой ссылке httрs://example.соm/store/var/test.txt, то это плохо для безопасности или для чего?

rinat02 · 01.Октябрь.2019 05:26:34

Поясню. Была рассылка от 25 сент2019:
Цитата:
"Недавно нам написал клиент. С ним связались неизвестные и назвали адрес его панели администратора. Это ещё не означает, что магазин взломали (для взлома нужен пароль), но уже повод задуматься о безопасности. Поэтому мы изучили тот случай и делимся решением проблемы. Она редкая, но рекомендую проверить, есть ли она в вашем магазине.

Проверить наличие проблемы просто: создайте в подпапке var вашего магазина файл test.txt с каким-нибудь текстом, а потом попробуйте открыть его по ссылке [ваш_магазин]/var/text.txt (https://example.com/var/test.txt или https://example.com/store/var/test.txt и т.п.). Если текст из файла не покажется (например, будет ошибка 404), то всё хорошо."

ну, далее был совет обратиться к админам
Админы недоумевают
Пользователь совсем растерян
Онлайн маркетинг страны под ударом

AndreyJ · 01.Октябрь.2019 18:52:20

так у вас текст то показался или все хорошо?

alexa · 01.Октябрь.2019 20:34:52

Показывается. Однако техподдержка рекомендует обратиться к специалистам, если магазин рабочий, так как без знаний можно накосячить. Уж и не знаю что делать.

rinat02 · 02.Октябрь.2019 04:55:29

Или нанимать специалиста по серверам или наши деньги за движок на ветер… и их репутация

О, а если еще и упущенную выгоду и невыполненные обязательства перед третьими лицами в копеечку перевести, то картина вообще разорительная может получиться

rinat02 · 02.Октябрь.2019 07:18:30

Очередной ответ поддержки сервера:
“Мы не будем вносить изменения в конфигурацию nginx. Как вариант можете закрыть любую требуемую вам директорию через .htaccess.”

И это от рекомендованного разработчиками хостинга!

Ок, теперь осталось выяснить какие директории обязательные к закрытию. Куда вопрос задать, если в HelpDesk не отвечают?

migpa · 02.Октябрь.2019 07:42:10

какого?

vetalm · 04.Октябрь.2019 16:49:35

У меня виртуальный хостинг на apache. Проблема есть, файл открывается.
Техподдержка цскарт сказала “На сколько я вижу, запреты в файле .htaccess не действуют на txt файлы.
Вам необходимо связаться с вашим администратором сервера для уточнения причин.”