Feature #11980
closed
Check if directory `protected` is really protected against direct access.
Added by Marc Egger over 3 years ago.
Updated over 1 year ago.
Description
- mit dem qfqProject ordner ist es nun umso wichtiger, dass fileadmin/protected nicht von apache ausgeliefert wird.
- zur zeit ist der hinweis zum protected verzeichnis in der doku ziemlich versteckt
- Ich würde vorschlagen den Hinweis prominenter zu machen.
- Wir könnten auch einen Test einbauen, ob dokumente unterhalb protected ausgeliefert werden. Ich habe das bei Dokuwiki gesehen
DOKUWIKI LOESUNG: In Dokuwiki wird ein Bild in Admin interface angezeigt, falls der Zugriff auf den Geschuetzten Ordner moeglich ist. Wir koennten dies im Form Editor Report auch machen. Der Form Editor report ist definiert in extension/resources/private/report
- möglicherweise kann man ab tzpo3 8 dies auch über das typo3 routing schützen
- ein simpler zusatzschutz: automatisch eine .htaccess datei mit 'Deny from all' in protected verzeichnis legen
- Status changed from New to In Progress
- Description updated (diff)
- Description updated (diff)
- Status changed from In Progress to Priorize
- Tracker changed from Support to Feature
- Status changed from Priorize to In Progress
- Description updated (diff)
- Assignee changed from Marc Egger to Carsten Rose
- Description updated (diff)
- Subject changed from protected verzeichnis MUSS geschützt werden to Check if directory `protected` is really protected against direct access.
- Status changed from In Progress to New
- Assignee changed from Carsten Rose to Enis Nuredini
- Priority changed from Normal to High
- Target version changed from next5 to 24.9.0
- Prio Planung set to No
Bei jeder QFQ Installation und bei einem Update der QFQ Version: Check ob das Verzeichnis 'fileadmin/protected' wirklich vor Zugriff geschuetzt ist.
curl/wget {{baseUrl:Y}}/fileadmin/protected/qfqProject/qfq.json
Das muss einen Fehler 'access forbidden' liefern - sonst ist das Verzeichnis offen.
In der Fehlemeldung Beispiel angeben (fuer Apache, nginx) wie das Verzeichnis geschuetzt werden kann.
- Status changed from New to In Progress
- Status changed from In Progress to Ready to sync (develop)
- Status changed from Ready to sync (develop) to Closed
- Target version changed from 24.9.0 to 23.1.1
Also available in: Atom
PDF