QFQ

• mit dem qfqProject ordner ist es nun umso wichtiger, dass fileadmin/protected nicht von apache ausgeliefert wird.

• zur zeit ist der hinweis zum protected verzeichnis in der doku ziemlich versteckt
  • https://docs.qfq.io/en/master/Security.html?highlight=protected#secure-direct-file-access
  • Ich würde vorschlagen den Hinweis prominenter zu machen.

• Wir könnten auch einen Test einbauen, ob dokumente unterhalb protected ausgeliefert werden. Ich habe das bei Dokuwiki gesehen

DOKUWIKI LOESUNG: In Dokuwiki wird ein Bild in Admin interface angezeigt, falls der Zugriff auf den Geschuetzten Ordner moeglich ist. Wir koennten dies im Form Editor Report auch machen. Der Form Editor report ist definiert in extension/resources/private/report

• möglicherweise kann man ab tzpo3 8 dies auch über das typo3 routing schützen

• ein simpler zusatzschutz: automatisch eine .htaccess datei mit 'Deny from all' in protected verzeichnis legen