.htpasswd может быть опасен

Небольшая заметка на заметку, так сказать. Многие рекомендуют защищать паролем доступ к папкам через файл .htpasswd. В принципе, это весьма эффективно: если злоумышленник получит доступ к твоим файлам, то этот пароль может тебя спасти, ведь он не сможет без знания пароля забраться в закрытую дирректорию. Я не буду здесь рассказывать, как работает .htpasswd, как его настраивать- об этом полно информации в сети, не ленись- спроси у Гоши.

Я хочу чуть остановиться на моменте безопасности самого файла .htpasswd, ну и .htaccess в придачу. Ведь что это по сути? По сути, это всего лишь текстовые файлы, которые отдают команды серверу. И, если ты закончил хотя бы первый класс и имеешь образование, хоть и слегка начатое, ты должен знать, что текстовый файл можно и нужно читать. Точнее, можно, но не всегда нужно. Или наоборот? Короче, я запутался. Продолжим.

Ты весьма удивишься, если узнаешь, что некоторые, не побоюсь этого слова, говнохостинги, настраивают свои сервера так, что вбив в адресную строку своего арбуза http://govnosait.ru/.htaccess, мы видим все, что там записано. Бред? Неа, не бред. Я тоже так думал. Но есть такие сервисы- поисковики файлов( не буду указывать конкретно, если есть желание- сам найдешь), так вот, вбил я в одном в строку поиска ".htpasswd"- и охренел: вот они, пароли! Бери, ломай! Конечно, многие из них зашифрованы, но кого это остановит?!

Ты можешь возразить: "я могу кинуть .htpasswd выше корневой". Но, если я смогу прочитать твой .htaccess, я буду знать все пути.. И набрав .htpasswd.govnosait.ru смогу увидеть то, чего мне видеть не положено...

Мораль

Использовать файл .htpasswd для дополнительной защиты- нужно, даже необходимо. Однако и его самого нужно защитить. Проверь, нет ли на твоем сайте доступа к нему, и если твои худшие опасения оправдаются- бегом меняй хостера, так как эта болезнь- пофигизм, непрофессионализм, нубство- называй, как хочешь, лечится с трудом, а в особо тяжелых и запущенных случаях не поддается лечению вовсе.