Warum enthält eine Joomla-Distribution immer noch index.html in jedem Ordner?


Antworten:


9

Ich denke, dies ist ein "Randfall" -Szenario. Ein großer Teil der Joomla-Benutzer wäre ohne diese Dateien sicher, aber einige Benutzer führen Joomla auf einem falsch konfigurierten Host aus (und einige auf einem falsch konfigurierten Host, auf dem sie nicht neu konfigurieren können), auf dem der Verzeichnisinhalt angezeigt wird, wenn das Verzeichnis vorhanden ist angefordert. Diese Datei verhindert das.

Auf persönlicher Ebene ist es unnötig, die Dateien aufzublähen, wenn Sie die Dateien nicht benötigen, und Sie können sie entfernen.

Auf CMS-Ebene denke ich, dass es ein Problem löst, das große Sicherheitsprobleme mit relativ geringem Aufblähen haben kann. (Die Dateien sind normalerweise leer oder enthalten eine winzige HTML-Zeile.)

Ich kann nicht mit dem genauen Grund sprechen, warum die PR nicht akzeptiert wurde (da ich nicht einmal diese Macht habe, geschweige denn mit den Leuten zu plaudern, die das tun); Ich denke, dass der relative Nutzen für die Gemeinschaft das Aufblähen überwiegt.


Davon abgesehen gibt es eine alternative Methode, die ich bei einigen Joomla-Veranstaltungen erwähnt habe, um die Mehrheit der Dateien "auf eine höhere Ebene" zu verschieben. Die Idee ist, alle Dateien über dem public_htmlVerzeichnis abzurufen, damit nicht direkt auf die Dateien zugegriffen werden kann. Sie wollen nur die index.phpDatei, .htaccessDatei und die imagesund mediaOrdner Web zugänglich (halten Ihre CSS, JS und Bilder zugänglich.)

Zu diesem Zeitpunkt verlassen Sie sich weniger auf eine Basisserverkonfiguration und können mehr garantieren, dass auf die Dateien nicht unangemessen zugegriffen wird. Dies hätte seine eigenen Konfigurationsprobleme (da wir jetzt auf Dateien über unserem "Stamm" zugreifen müssen).

Alles in allem bin ich mir nicht sicher, ob es einen narrensichereren Plan gibt, um die Sicherheit der Menschen ohne viele Probleme zu gewährleisten, als die Verwendung von index.htmlDateien. Wenn ich also generell eine Plattform veröffentlichen würde, würde ich mich an index.htmlDateien halten.


7

Der Grund für eine index.html in jedem Ordner besteht darin, sie zu schützen, um Informationen über falsch konfigurierte Hosting-Umgebungen offenzulegen.

Wenn dies ein echtes Problem ist und die CMS dies berücksichtigen sollten, ist dies eine andere Frage.


1
Tatsächlich war es eine Anforderung bei JED
Anibal am

0

Meines Wissens gab es dafür nie eine PR. Es gibt einen Feature-Tracker ( http://joomlacode.org/gf/project/joomla/tracker/?action=TrackerItemEdit&tracker_item_id=30192 ), der "zur Überprüfung bereit" ist. Der Patch existiert nur in einem Zweig und ist kein PR. Daher ist dies wahrscheinlich der Grund, warum es nie zusammengeführt wurde.

Oder beziehen Sie sich auf eine andere PR?


Vielen Dank, dass Sie diesen JC-Tracker gefunden haben. Ich dachte, es gibt einen PR, der die entfernten Dateien erwähnt, aber vielleicht war das Wunschdenken. Erinnern Sie sich nicht an die vorgeschlagenen Änderungen an .htaccess oder dem Patch.
Sovainfo

Sollte das nicht eher ein Kommentar als eine Antwort gewesen sein?
Jo-Erlend

Es ist die richtige Antwort auf die Frage :)
Bakual
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.