[TYPO3-german] Wie schützt ihr Extension-Files gegen direkten Aufruf im Browser
Arne-Kolja Bachstein
a at arnekolja.de
Tue Nov 17 13:21:09 CET 2015
Eine .htaccess mit „deny from all“ genügt doch schon für so etwas. Zumindest sofern es ein StiNo-Webserver mit Apache ist.
> Am 17.11.2015 um 13:17 schrieb Alexander Averbuch <alav at gmx.net>:
>
> Hallo zusammen,
>
> ich habe mehrere TYPO3-Websites geprüft und habe festgestellt, dass einige Extension-Files oder TypoScript-Files aus dem fileadmin-Verzeichnis aufrufbar sind.
>
> Mein Problem: Ich entwickle eine große Website mit ca. 40 Extbase-Extensions. Leider sind die Dateien wie ext_tables.sql oder Configuration/TypoScript/setup.txt gar nicht geschützt, und jeder, der sich mit TYPO3 auskennt, weiß, wo sie liegen und kann sie aufrufen. Ich finde es überhaupt nicht gut. Das ist auf jeden Fall Futter für einen Hacker. Was kann man unternehmen? Wenn ich im .htaccess alle Dateien im Verzeichnis typo3conf/ext schütze, muss ich noch berücksichtigen, dass ext_icon.gif und alle Dateien aus dem Resources/Public-Ordner aufrufbar sein müssen. Und vielleicht gibt es bei einer oder anderer Extensions andere Dateien/Ordner, die aufrufbar sein müssen. Ich sehe im Moment keine allgemeine Lösung. Wenn ich auf Anhieb eine TYPO3-Website nehme, ist sie von dem Problem auch betroffen.
> Probiert mal bei euren Websites sowas wie:
>
> www.domain.ltd/typo3conf/ext/meiextension/Configuration/TypoScript/setup.txt oder
> www.domain.ltd/typo3conf/ext/meiextension/ext_tables.sql
>
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
More information about the TYPO3-german
mailing list