[TYPO3-german] Wie schützt ihr Extension-Files gegen direkten Aufruf im Browser

André Spindler typo3 at andre-spindler.de
Tue Nov 17 13:30:47 CET 2015 

in der .htaccess-Datei, die mit dem 7.6er Core ausgeliefert wird, steht 
zum Beispiel das drin:

<FilesMatch 
"(?i:^\.|^#.*#|^(?:ChangeLog|ToDo|Readme|License)(?:\.md|\.txt)?|^composer\.(?:json|lock)|^ext_conf_template\.txt|^ext_typoscript_constants\.txt|^ext_typoscript_setup\.txt|flexform[^.]*\.xml|locallang[^.]*\.(?:xml|xlf)|\.(?:bak|co?nf|cfg|ya?ml|ts|dist|fla|in[ci]|log|sh|sql(?:\..*)?|sw[op]|git.*)|.*(?:~|rc))$">
     # Apache < 2.3
     <IfModule !mod_authz_core.c>
         Order allow,deny
         Deny from all
         Satisfy All
     </IfModule>

     # Apache ≥ 2.3
     <IfModule mod_authz_core.c>
         Require all denied
     </IfModule>
</FilesMatch>

Das lässt sich dann noch um sowas wie ".ts", ".typoscript" usw erweitern...

Lieben Gruß,
André


Am 17.11.2015 um 13:21 schrieb Arne-Kolja Bachstein:
> Huch, sorry. Hätte bis zum Ende lesen sollen :-)
>
>> Am 17.11.2015 um 13:17 schrieb Alexander Averbuch <alav at gmx.net>:
>>
>> Hallo zusammen,
>>
>> ich habe mehrere TYPO3-Websites geprüft und habe festgestellt, dass einige Extension-Files oder TypoScript-Files aus dem fileadmin-Verzeichnis aufrufbar sind.
>>
>> Mein Problem: Ich entwickle eine große Website mit ca. 40 Extbase-Extensions. Leider sind die Dateien wie ext_tables.sql oder Configuration/TypoScript/setup.txt gar nicht geschützt, und jeder, der sich mit TYPO3 auskennt, weiß, wo sie liegen und kann sie aufrufen. Ich finde es überhaupt nicht gut. Das ist auf jeden Fall Futter für einen Hacker. Was kann man unternehmen? Wenn ich im .htaccess alle Dateien im Verzeichnis typo3conf/ext schütze, muss ich noch berücksichtigen, dass ext_icon.gif und alle Dateien aus dem Resources/Public-Ordner aufrufbar sein müssen. Und vielleicht gibt es bei einer oder anderer Extensions andere Dateien/Ordner, die aufrufbar sein müssen. Ich sehe im Moment keine allgemeine Lösung. Wenn ich auf Anhieb eine TYPO3-Website nehme, ist sie von dem Problem auch betroffen.
>> Probiert mal bei euren Websites sowas wie:
>>
>> www.domain.ltd/typo3conf/ext/meiextension/Configuration/TypoScript/setup.txt   oder
>> www.domain.ltd/typo3conf/ext/meiextension/ext_tables.sql
>>
>> _______________________________________________
>> TYPO3-german mailing list
>> TYPO3-german at lists.typo3.org
>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

More information about the TYPO3-german mailing list