Basic аутентификация

Roman sirotar at mail.ru
Tue Oct 17 10:16:37 MSD 2006


Добрый день, господа.
Подскажите, пожалуйста, может кто сталкивался
или натолкнет на мысль,
есть такая конструкция:
имеется сайт www.domain.com
на есть запороленная зона
www.domain.com/members/
аутентификация идет с помощью
mod_auth_mysql

собственно нжинксом отдается вся статика,
а скрипты на апач направляются.

Все работает замечателно, за исключением следующего
если каким-то образом узнать название любого файла в запароленной зоне, то
естественноб ез всякой авторизации можно тянуть файлы типа
www.domain.com/members/file.zip и т.д.

подскажите как можно избавится от такой ситуации.

Спасибо.


Вот конфигурация Nginx.

server {
       access_log logs/split-logs/domain.log;
       listen xx.xx.xx.xx;
       server_name domain.com www.domain.com;

       ssi on;
       ssi_silent_errors on;

       error_page  404  /errors/404.php;
       error_page  403  /errors/403.html;

        location / {
            root    /home/domains/domain.com;
            index  .htaccess index.php index.html;
        }


        location /errors {
            root    /home/domains/errors;
            index  404.php;
        }

        location ~* ^.+\.(php|cgi|html)$ {
            proxy_pass   http://127.0.0.1;
            proxy_set_header  HOST $host;
            proxy_set_header  X-Real-IP  $remote_addr;
        }

        location ~ /\.ht {
             proxy_pass http://127.0.0.1;
             proxy_set_header  HOST $host;
             proxy_set_header  X-Real-IP  $remote_addr;
        }

    }

  

-- 
Best regards,
 Roman                          mailto:sirotar at mail.ru






More information about the nginx-ru mailing list