Directory Listing ist eine Einrichtungsoption bei Servern. Sie ist die automatische Auflistung von Verzeichnissen der eigenen Website (Verzeichnisauflistung)/ ein Erstellen von Inhaltsverzeichnissen (mit Dateinamen). Manchmal ist sie schon voreingestellt. Ist Directory Listing aktiviert, zeigen Webserver diese Inhalte. Außer, es wurde eine leere oder vorgegebene Indexseite darin angelegt. Dann wird diese angezeigt, die sensiblen Daten bleiben geschützt. Ruft jemand ein Verzeichnis ohne Indexdatei im Browser auf, erscheint eine 403-Fehlermeldung. Das ist ein Schutz! Kein Verzeichnis sollte ohne Wissen des Anbieters öffentlich einsehbar sein.
Was ist eine Indexseite?
Eine Indexseite wird auch Homepage, Einstiegseite, Hauptseite, Leitseite oder Startseite genannt. Die Datei darin trägt meist den Namen index. Ursprünglich war damit die HTML-Datei im Stammverzeichnis (Root-Verzeichnis) gemeint, die Startseite. Inzwischen verstehen viele darunter die Startseite samt allen Unterseiten (den gesamten Inhalt). Dateien der Index-Seite heißen meistens index.html, index.htm, index.php, home.html, home.htm, default.html, default.htm. Dies ist die Homepage selber, oder leitet auf die Homepage.
Wichtigkeit der Index-Seite
Es sollte immer eine Index-Seite angegeben werden. Andernfalls stellt es eine Einladung an Hacker dar, was vielen nicht bewusst ist. Ist zum Beispiel das Backup des Admin sichtbar, reicht das Hackern, um mit diesen Informationen alle weiteren Seiten zu öffnen. Dann liegt alles offen, das nicht dafür gedacht war.
Die heutigen Suchmaschinen Algorithmen sind darauf ausgelegt einer einzelnen Unterseite in einem Internetprojekt eine zu berechnende Relevanz im Kontext des gesamten Auftritts zuzuordnen. Der „unsaubere“ Umgang von Unterordnern kann sich sowohl auf die Indexierung der Suchmaschinenroboter (Crawlbarkeit), als auch auf das Ranking negativ auswirken.
Die Verzeichnisauflistung ist eine Risikoquelle
Es kommt vor, dass aus Unwissenheit ein Webserver so eingestellt wird, dass er ein Einfallstor für Hacker wird. Das ist bei Directory Listing öfter der Fall. Manche lassen das Feld für das Inhaltsverzeichnis frei. Sie wissen nicht, dass sie damit eine Sicherheitslücke produzieren und ihre sensiblen Daten für alle offen liegen! Directory Listing Probleme zählen zu denen, vor denen ein SSL Zertifikat nicht schützt (sie können mit einem automatischen Web-Schwachstellen-Scanner erkannt werden).
Für die SEO existiert aus Sicht der Suchmaschinenroboter hinter jedem Slash / ein Ordner. Bei der dargestellten URL vermutet der Bot, dass dieses Unterseite im 3. Unterordner steckt.
Dieser Unterordner selbst scheint allerdings keine Inhaltsseite zu besitzen und so wird es der Suchmaschine überlassen, welche Datei hier vorkommt.
https://www.domain.tld/
kategorie/
subkategorie/
Daraus ergibt sich die optimale Linie in der URL Gestaltung:
https://www.domain.tld/kategorie/subkategorie/index.html
Da alle Suchmaschinen davon ausgehen, dass in jedem existierenden Ordner zumindest eine „index“-Datei enthalten ist, ergeben sich hier diverse Variationsmöglichkeiten, welche mit Hilfe eines Content Management Systems (CMS) alle die Webseite korrekt auflösen.
Für die Suchmaschinenoptimierung stellt dieses allerdings ein potenzielles Risiko dar.
/kategorie/subkategorie/index.htm
/kategorie/subkategorie/index.html
/kategorie/subkategorie/index.xhtml
/kategorie/subkategorie/index.php
/kategorie/subkategorie/index.php4
/kategorie/subkategorie/index.asp
/kategorie/subkategorie/index.aspx
und weitere..
Abbildung: Hinter jedem Ordner könnten sich weitere verbergen wenn diese nicht explizit benannt sind.
Ein paar Worte zur Sicherheit
Directory Listing deaktivieren - ist das gut?
Es ist sicherer, die Verzeichnisauflistung zu deaktivieren. Oft ist ein unprofessioneller Umgang damit eine Hilfestellung für Hacker. Auf eine Anfrage zu einem Verzeichnis (ohne Indexdatei darin) sendet der Webserver ein Directory Listing als Antwort. Dieses kann temporäre Dateien etc. enthalten, alle sensiblen Daten liegen offen. Der Hacker kann sie abgreifen und immensen Schaden anrichten. Viele Webserver deaktivieren daher Directory Listing zum Schutz ihrer Daten. Man hat die Wahl:
- Directory Listing komplett deaktivieren
- Directory Listing aktiviert lassen, unter der Gewährleistung einer ausreichenden Kontrolle und professionellem Schutz der sensiblen Daten. Denn wenn jemand die URL kennt oder erraten kann, ist der Weg für den Hacker bereits geebnet.
Wie Directory Listing deaktivieren?
Directory Listing kann deaktiviert werden
- indem in jedem Inhaltsverzeichnis eine leere Indexseite (index.html, index.htm, default.htm ... ) angelegt wird. Das kann aber zu Problemen führen, wenn neue Inhaltsverzeichnisse dazu kommen. Oder wenn sie bei internen Umstrukturierungen vergessen wird.
- sicherste Lösung: das Directory Listing auf Webserver Level zu deaktivieren. Der Webserver wird so eingestellt, dass alle Zugangswege zu Verzeichnisprotokollen unterhalb des Web Root unterbunden werden. Die .htaccess-Datei muss sich im Dokument Root befinden, dann gibt man ein:
Options -Indexes
Directory Listing deaktivieren
Der Schutz ist leider auch nicht 100 %. Selbst mit deaktiviertem Verzeichnisprotokoll kann ein Hacker sensible Dateien erraten, indem er mit automatisierten Tools herumexperimentiert.
- Kann trotz Deaktivierung von Directory Listing ein Inhaltsverzeichnis angezeigt werden? Ja, das ist möglich! Durch .htaccess
Directory Listing aktivieren
Befindet sich keine Indexdatei im jeweiligen Verzeichnis, kann Directory Listing aktiviert werden. Dies geschieht über eine Datei mit dem Namen .htaccess, sie wird in den Stammordner (document root, www-Ordner) eingetragen (manchmal ist sie schon da). Das ist meistens der Ordner /httpdocs - diese Datei öffnen - in die erste Zeile den Code tippen:
Options +Indexes
Directory Listing aktivieren
- speichern - Internetseite aufrufen.
Achtung, sämtliche Dateien und Ordner sind jetzt für alle sichtbar. Freigegebene Inhaltsverzeichnisse sollten deshalb die Ausnahme bleiben!
- Die Aktivierung gilt automatisch auch für alle Unterverzeichnisse!
- Sollen auch Größe und Datum der Datei erscheinen, muss .htaccess um zwei Zeilen erweitert werden:
IndexOptions FancyIndexing
IndexOptions NameWidht=*)
Speichern und Upload der .htaccess-Datei. Fertig!
Gern arbeiten wir als Online Marketing Agentur
mit Logo Design
oder Filmproduktion
.
Interesse geweckt?
Dann schreiben Sie uns, wir helfen & sind für Sie da!