Actions
Feature #11980
closedCheck if directory `protected` is really protected against direct access.
Start date:
09.02.2021
Due date:
% Done:
0%
Estimated time:
Discuss:
Prio Planung:
No
Vote:
Description
- mit dem qfqProject ordner ist es nun umso wichtiger, dass fileadmin/protected nicht von apache ausgeliefert wird.
- zur zeit ist der hinweis zum protected verzeichnis in der doku ziemlich versteckt
- Ich würde vorschlagen den Hinweis prominenter zu machen.
- Wir könnten auch einen Test einbauen, ob dokumente unterhalb protected ausgeliefert werden. Ich habe das bei Dokuwiki gesehen
DOKUWIKI LOESUNG: In Dokuwiki wird ein Bild in Admin interface angezeigt, falls der Zugriff auf den Geschuetzten Ordner moeglich ist. Wir koennten dies im Form Editor Report auch machen. Der Form Editor report ist definiert in extension/resources/private/report
- möglicherweise kann man ab tzpo3 8 dies auch über das typo3 routing schützen
- ein simpler zusatzschutz: automatisch eine .htaccess datei mit 'Deny from all' in protected verzeichnis legen
Updated by Marc Egger about 3 years ago
- Status changed from In Progress to Priorize
Updated by Carsten Rose almost 3 years ago
- Tracker changed from Support to Feature
Updated by Marc Egger over 2 years ago
- Status changed from Priorize to In Progress
Updated by Marc Egger over 2 years ago
- Description updated (diff)
- Assignee changed from Marc Egger to Carsten Rose
Updated by Carsten Rose over 1 year ago
- Subject changed from protected verzeichnis MUSS geschützt werden to Check if directory `protected` is really protected against direct access.
- Status changed from In Progress to New
- Assignee changed from Carsten Rose to Enis Nuredini
- Priority changed from Normal to High
- Target version changed from next5 to 24.8.0
- Prio Planung set to No
Bei jeder QFQ Installation und bei einem Update der QFQ Version: Check ob das Verzeichnis 'fileadmin/protected' wirklich vor Zugriff geschuetzt ist.
curl/wget {{baseUrl:Y}}/fileadmin/protected/qfqProject/qfq.json
Das muss einen Fehler 'access forbidden' liefern - sonst ist das Verzeichnis offen.
In der Fehlemeldung Beispiel angeben (fuer Apache, nginx) wie das Verzeichnis geschuetzt werden kann.
Updated by Enis Nuredini over 1 year ago
- Status changed from New to In Progress
Updated by Enis Nuredini about 1 year ago
- Status changed from In Progress to Ready to sync (develop)
Updated by Carsten Rose about 1 year ago
- Status changed from Ready to sync (develop) to Closed
Updated by Carsten Rose about 1 year ago
- Target version changed from 24.8.0 to 23.1.1
Actions