Project

General

Profile

Actions

Feature #11980

closed

Check if directory `protected` is really protected against direct access.

Added by Marc Egger about 3 years ago. Updated about 1 year ago.

Status:
Closed
Priority:
High
Assignee:
Enis Nuredini
Target version:
Start date:
09.02.2021
Due date:
% Done:

0%

Estimated time:
Discuss:
Prio Planung:
No
Vote:

Description

  • mit dem qfqProject ordner ist es nun umso wichtiger, dass fileadmin/protected nicht von apache ausgeliefert wird.
  • Wir könnten auch einen Test einbauen, ob dokumente unterhalb protected ausgeliefert werden. Ich habe das bei Dokuwiki gesehen

DOKUWIKI LOESUNG: In Dokuwiki wird ein Bild in Admin interface angezeigt, falls der Zugriff auf den Geschuetzten Ordner moeglich ist. Wir koennten dies im Form Editor Report auch machen. Der Form Editor report ist definiert in extension/resources/private/report

  • möglicherweise kann man ab tzpo3 8 dies auch über das typo3 routing schützen
  • ein simpler zusatzschutz: automatisch eine .htaccess datei mit 'Deny from all' in protected verzeichnis legen
Actions #1

Updated by Marc Egger about 3 years ago

  • Status changed from New to In Progress
Actions #2

Updated by Marc Egger about 3 years ago

  • Description updated (diff)
Actions #3

Updated by Marc Egger about 3 years ago

  • Description updated (diff)
Actions #4

Updated by Marc Egger about 3 years ago

  • Status changed from In Progress to Priorize
Actions #5

Updated by Carsten Rose almost 3 years ago

  • Tracker changed from Support to Feature
Actions #6

Updated by Marc Egger over 2 years ago

  • Status changed from Priorize to In Progress
Actions #7

Updated by Marc Egger over 2 years ago

  • Description updated (diff)
  • Assignee changed from Marc Egger to Carsten Rose
Actions #8

Updated by Marc Egger over 2 years ago

  • Description updated (diff)
Actions #9

Updated by Carsten Rose over 1 year ago

  • Subject changed from protected verzeichnis MUSS geschützt werden to Check if directory `protected` is really protected against direct access.
  • Status changed from In Progress to New
  • Assignee changed from Carsten Rose to Enis Nuredini
  • Priority changed from Normal to High
  • Target version changed from next5 to 24.8.0
  • Prio Planung set to No

Bei jeder QFQ Installation und bei einem Update der QFQ Version: Check ob das Verzeichnis 'fileadmin/protected' wirklich vor Zugriff geschuetzt ist.

curl/wget {{baseUrl:Y}}/fileadmin/protected/qfqProject/qfq.json

Das muss einen Fehler 'access forbidden' liefern - sonst ist das Verzeichnis offen.

In der Fehlemeldung Beispiel angeben (fuer Apache, nginx) wie das Verzeichnis geschuetzt werden kann.

Actions #10

Updated by Enis Nuredini over 1 year ago

  • Status changed from New to In Progress
Actions #11

Updated by Enis Nuredini about 1 year ago

  • Status changed from In Progress to Ready to sync (develop)
Actions #12

Updated by Carsten Rose about 1 year ago

  • Status changed from Ready to sync (develop) to Closed
Actions #13

Updated by Carsten Rose about 1 year ago

  • Target version changed from 24.8.0 to 23.1.1
Actions

Also available in: Atom PDF