Liberando URL temporaria para clientes.

[Anger]

Proprio cpanel já tem esta informação:

Citar

mod_userdir do Apache permite que os usuários visualizem seus sites inserindo um til (~) e o nome de usuário como URI em um host específico. Por exemplo: http://test.cpanel.net/~fred/ exibirá o domínio do usuário fred. A desvantagem desse recurso é que qualquer uso de largura de banda feito pelo site recairá sobre o domínio pelo qual é acessado (neste caso, test.cpanel.net). A proteção de mod_userdir impede que isso aconteça. Porém, convém desabilitá-lo em hosts virtuais específicos (geralmente hosts ssl compartilhados).

17 horas atrás, brunofernandes disse:

Olá, sou novo forum e gostaria muito que pudessem me ajudar, estou tentando habilitar urls temporárias para meus clientes porém meu whm não possui a opção Security Center, como proceder nesse caso?

Para ativar isto, vá para esta opção:

 

Provavelmente para ti está ativada. Desabilite e salve.

[Jamis Henrique]

Justamente, isso acaba se tornando uma função que abre portas para dar algum problema. O cliente recebe um fluxo de conexões através desta URL, e ai? Se não houver firewall e não tiver uma boa configuração no servidor, com certeza, chegará um ponto que algum problema surgirá.

Tendo em vista a pergunta do amigo, imagino que ele seja novo com o mercado, então, é melhor ele prevenir do que remediar. No final das contas, vai de cada um, se habilita ou não. Por mim, a recomendação é que não habilite.

[Anger]

21 horas atrás, Jamis Henrique disse:

Justamente, isso acaba se tornando uma função que abre portas para dar algum problema. O cliente recebe um fluxo de conexões através desta URL, e ai? Se não houver firewall e não tiver uma boa configuração no servidor, com certeza, chegará um ponto que algum problema surgirá.

Tendo em vista a pergunta do amigo, imagino que ele seja novo com o mercado, então, é melhor ele prevenir do que remediar. No final das contas, vai de cada um, se habilita ou não. Por mim, a recomendação é que não habilite.

Jamis, não faz sentido sua colocação. Por que justamente por isto? O fluxo de conexões é o mesmo que por domínio, então, ele não poderia usar o dominio que estaria passível a ataques. Esta opção não abre nenhuma porta, nenhuma brecha. Firewall é padrão, todo servidor tem que ter, então descartemos esta opção, por que mesmo com firewall, ter um site já hospedado está passivo a ter ataques.

[Eltern]

Complementando as argumentações dos colegas.

O módulo UserDir consegue ter acesso aos diretórios usando a sintaxe /~username/. Até aqui, nada novo. Se procurarmos, encontraremos considerações diferentes do mesmo módulo para versões distintas do Http Apache (sendo 1.x a pior).

Cabe mencionar um exemplo bem antigo:
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2001-1013

 

Com o Nmap eu posso programar um ataque de dicionário baseado numa lista válida de usuários (tempo não falta nestas horas), exaurindo todas possibilidades genéricas.
Eu poderia conseguir a listagem, também, através de alguma aplicação vulnerável (algum CMS, plugin, componente) ou ainda, através de alguma falha presente nas versões do PHP presentes nos compiladores cPanel, uma vez que o empacotamento neste compilador não é ainda instantâneo.

Soma-se isso ao fato concreto da não contabilização de tráfego (ilimitada oferta de banda pelo provedor não reflete na ilimitada contagem pelo data center) e teremos não a afirmativa que o tal recurso é nocivo por si só, mas sim, que é recomendável não adotá-lo sem que algumas tantas ressalvas sejam consideradas / aplicadas. Ressalvas podem representar riscos, riscos podem representar prejuízos e com estes algumas consequências.

Isso é só um detalhe explicado por quem sabe nada de exploração do http server da Apache, portanto, se a intenção é oferecer um URL alternativo, pensem no tantos recursos disponíveis no próprio http server (questão esta que poderia ser explicada pelos colegas mais experientes).