mirror of
https://github.com/php/doc-es.git
synced 2026-03-23 23:12:09 +01:00
c2c301bad0
git-svn-id: https://svn.php.net/repository/phpdoc/es/trunk@336622 c90b9560-bf6c-de11-be94-00142212c4b1
80 lines
2.9 KiB
XML
80 lines
2.9 KiB
XML
<?xml version="1.0" encoding="utf-8"?>
|
|
<!-- $Revision$ -->
|
|
<!-- EN-Revision: ab6785b01ce1006e3a9761988575289f40c9b678 Maintainer: jpberdejo Status: ready -->
|
|
<!-- Reviewed: yes Maintainer: seros -->
|
|
<!-- splitted from ./index.xml, last change in rev 1.66 -->
|
|
<chapter xml:id="security.hiding" xmlns="http://docbook.org/ns/docbook">
|
|
<title>Ocultar PHP</title>
|
|
<para>
|
|
En general, la seguridad por ocultación es una de las formas más débiles de seguridad.
|
|
Aunque en algunos casos, es aconsejable cada pequeño elemento extra de seguridad.
|
|
</para>
|
|
<para>
|
|
Unas cuantas técnicas simples pueden ayudar a ocultar <acronym>PHP</acronym>, posiblemente retrasando
|
|
a un atacante que esté tratando de descubrir debilidades en el
|
|
sistema. Al establecer expose_php a <literal>off</literal> en el
|
|
fichero &php.ini;, se reduce la cantidad de información disponible.
|
|
</para>
|
|
<para>
|
|
Otra táctica es configurar servidores web como Apache para
|
|
interpretar diferentes tipos de ficheros por medio de <acronym>PHP</acronym>, ya sea con una directiva
|
|
de &htaccess; o en el propio fichero de configuración de Apache. Así se pueden
|
|
utilizar extensiones de ficheros engañosas:
|
|
<example>
|
|
<title>Ocultando PHP como si fuera otro lenguaje</title>
|
|
<programlisting role="apache-conf">
|
|
<![CDATA[
|
|
# Hacer que el código de PHP parezca otro tipo de código
|
|
AddType application/x-httpd-php .asp .py .pl
|
|
]]>
|
|
</programlisting>
|
|
</example>
|
|
U ocultarlo completamente:
|
|
<example>
|
|
<title>Utilizar tipos desconocidos para extensiones de PHP</title>
|
|
<programlisting role="apache-conf">
|
|
<![CDATA[
|
|
# Hacer que el código de PHP parezca de tipo desconocido
|
|
AddType application/x-httpd-php .bop .foo .133t
|
|
]]>
|
|
</programlisting>
|
|
</example>
|
|
U ocultarlo como código <acronym>HTML</acronym>, lo cual tiene un pequeño impacto de rendimiento debido
|
|
a que todos los ficheros <acronym>HTML</acronym> serán procesados por el motor de <acronym>PHP</acronym>:
|
|
<example>
|
|
<title>Utilizar tipos <acronym>HTML</acronym> para extensiones de PHP</title>
|
|
<programlisting role="apache-conf">
|
|
<![CDATA[
|
|
# Hacer que el código de PHP parezca HTML
|
|
AddType application/x-httpd-php .htm .html
|
|
]]>
|
|
</programlisting>
|
|
</example>
|
|
Para que esto funcione eficazmente, se debe cambiar el nombre de los ficheros <acronym>PHP</acronym> con
|
|
las extensiones de arriba. Si bien es una forma de seguridad por
|
|
ocultamiento, es una medida preventiva menor con pocos inconvenientes.
|
|
</para>
|
|
</chapter>
|
|
|
|
|
|
<!-- Keep this comment at the end of the file
|
|
Local variables:
|
|
mode: sgml
|
|
sgml-omittag:t
|
|
sgml-shorttag:t
|
|
sgml-minimize-attributes:nil
|
|
sgml-always-quote-attributes:t
|
|
sgml-indent-step:1
|
|
sgml-indent-data:t
|
|
indent-tabs-mode:nil
|
|
sgml-parent-document:nil
|
|
sgml-default-dtd-file:"~/.phpdoc/manual.ced"
|
|
sgml-exposed-tags:nil
|
|
sgml-local-catalogs:nil
|
|
sgml-local-ecat-files:nil
|
|
End:
|
|
vim600: syn=xml fen fdm=syntax fdl=2 si
|
|
vim: et tw=78 syn=sgml
|
|
vi: ts=1 sw=1
|
|
-->
|