Come disabilitare la lista dei files nelle directory su Apache
Il server Apache permette di esplorare i contenuti tramite le cartelle e le directory.
Le cartelle e directory su Apache
Si tratta di un vecchio modo di navigare tra le risorse web che consente agli utenti di aprire una cartella e visualizzare l'elenco dei files contenuti
Nota. La lista dei files della directory viene visualizzata soltanto se manca un file index di default. In caso contrario, il web server visualizza il contenuto del file index.
Gli utenti possono cliccare sui file di interesse.
In alternativa, possono cliccare sul nome delle sottocartelle per visualizzarne il contenuto.
Come impedire la visualizzazione dei files
Per ragioni di sicurezza è consigliabile impedire la visualizzazione della lista dei file e della struttura delle directory di un sio web.
Per oscurare la struttura delle cartelle e nascondere la lista dei files si può agire in due modi.
- Inserire un file Index nella directory
- Modificare la configurazione di Apache
Inserire un file index nella directory
Questa prima strada è abbastanza semplice. È sufficiente inserire un file index.htm in ogni directory.
Quando un utente richiama la visualizzazione del contenuto della directory, il server Apache gli restituisce a video il contenuto del file index.htm al posto della lista dei files della directory.
Come si carica sul server il file index?
Il file index ( o default ) può essere trasferito sulla cartella del web server Apache tramite un software FTP.
Modificare la configurazione di Apache
La seconda strada è più complessa ma più completa.
È possibile modificare il file di configurazione di Apache ( httpd.conf ) per dire al server Apache come comportarsi quando un utente visualizza una directory.
Per oscurare la lista dei files bisogna aggiungere l'opzione -Indexes nella sezione DIRECTORY della directory principale del server ( "/var/www/html" ).
<Directory "/var/www/html">
Options -Indexes
</Directory>
Dopo aver apportato la modifica è necessario riavviare il server Apache per renderla operativa.
Quando l'opzione -Indexes è attiva, il server Apache mostra un messaggio di errore "403 Forbidden" quando un utente tenta di visualizzare una directory.
Nota. Se nella directory è presente un file index, il web server visualizza comunque il suo contenuto.
Perché questa soluzione è migliore?
Questa seconda strada più complessa ma anche più completa e sicura.
L'opzione -Indexes inibisce la visualizzazione su tutta la struttura.
Sia sulla root del sito web, la cartella principale dove si trova l'home page, che sulle sottodirectory.
Se in futuro si crea una nuova sottocartella, viene disabilitata automaticamente la visualizzazione dell'elenco dei files anche su quest'ultima.