Тема: Безопастность

.htaccess

Deny from all

для папок cache и logs.

2

Re: Безопастность

В стандартном htaccess в корне.
#Запрещаем открывать файлы напрямую
<Files ~ "(\.inc\.php|\.tpl|\.tpl\.php|\.auto\.php|\.auto\.xml)$">
    Order allow,deny
    Deny from all
</Files>

3

Re: Безопастность

Polo Art пишет:

В стандартном htaccess в корне.
#Запрещаем открывать файлы напрямую
<Files ~ "(\.inc\.php|\.tpl|\.tpl\.php|\.auto\.php|\.auto\.xml)$">
    Order allow,deny
    Deny from all
</Files>

святая наивность

Re: Безопастность

Ваши предложения?

5

Re: Безопастность

Ярослав пишет:

Ваши предложения?

озвучено в первом посте

6

Re: Безопастность

Всю папку /cache/ нельзя закрывать, так как в ней еще находятся сжатые css и js (при включении соответствующей опции).

А вот папку cache/engine - закрыть нужно.
Можно добавить в корневой .htaccess строку:

RewriteRule ^cache/engine/ - [R=403,NC,L]

Повысить оценку Понизить оценку

7

Re: Безопастность

admin пишет:

Всю папку /cache/ нельзя закрывать, так как в ней еще находятся сжатые css и js (при включении соответствующей опции).

А вот папку cache/engine - закрыть нужно.
Можно добавить в корневой .htaccess строку:

RewriteRule ^cache/engine/ - [R=403,NC,L]

почему не реализовать это на уровне CMS? хотя бы опционально.

Re: Безопастность

Потому, что полноценного файлового менеджера у нас внутри нет. Он действует только в рамках шаблонов.

9

Re: Безопастность

Закусило Александр пишет:

Потому, что полноценного файлового менеджера у нас внутри нет. Он действует только в рамках шаблонов.

А какая между ними связь?

Re: Безопастность

Ну а как вы предлагаете добавлять эти файлы .htaccess через интерфейс RS?

11 Отредактировано EnsoStudio (18.03.2019 19:41:53)

Re: Безопастность

Закусило Александр пишет:

Ну а как вы предлагаете добавлять эти файлы .htaccess через интерфейс RS?

зачем добавлять их через интерфейс RS? Особых изысков не требуется: если опция активна создаем в cache и logs .htaccess файлы блокирующие доступ к логам и системному кешу, нет - удаляем/переименовываем .htaccess.

"/cache/engine/.htaccess", "/logs/.htaccess" содержащие "Deny from all".

12

Re: Безопастность

Я что-то не понимаю всей темы
Структура апачевских htaccess наследуется, т.е. если htaccess лежит в корне, то он работает на все каталоги, если не перебито внутренними через AllowOverride.
Если написано в корневом htaccess
<Files ~ "(\.inc\.php|\.tpl|\.tpl\.php|\.auto\.php|\.auto\.xml)$">
    Order allow,deny
    Deny from all
</Files>
значит, закрыты от внешнего открытия все .inc.php, .tpl, .tpl.php, .auto.php, .xml что найдутся на одном уровне или ниже
добавьте сюда .tmp
Добавьте в корневой
RewriteRule ^cache/engine/ - [R=403,NC,L]

И ВСЁ!

Не надо никаких htaccess внутри вложенных каталогов.
БезопасТность следует реализовать на уровне разработчиков, т.е. предлагать в стоке уже прокачанный htaccess и нехай он в корне у всех новых ридискриптов лежит, в чём тут проблема-то?

***

Особых изысков не требуется: если опция активна создаем в cache и logs .htaccess файлы блокирующие доступ к логам и системному кешу, нет - удаляем/переименовываем .htaccess.

Айн момент, сэр - поверюзеры апач не юзают. Вообще. Нафиг он нужен-то в эпоху vps за два бакса и nginx?
То есть, любая фича подобного рода, включаемая в админке, на nginx работать не будет - ибо прав www не хватит писать в рутовые файлики.

Может, я что-то не знаю, так расскажите.

13

Re: Безопастность

Polo Art пишет:

добавьте сюда .tmp

у кеш файлов нет расширений, да и про логи забыли

Polo Art пишет:

Не надо никаких htaccess внутри вложенных каталогов.
БезопасТность следует реализовать на уровне разработчиков, т.е. предлагать в стоке уже прокачанный htaccess и нехай он в корне у всех новых ридискриптов лежит, в чём тут проблема-то?

как я уже писал, главное прикрыть доступ, конечная реализация для меня роли не играет

Polo Art пишет:

Нафиг он нужен-то в эпоху vps за два бакса и nginx?

IIS тоже может быть и что дальше? Давайте не будет мешать все в одну кучу - когда разработчики RS решать добавить конфиги для этих серверов тогда и обсудим.

14

Re: Безопастность

у кеш файлов нет расширений, да и про логи забыли

Да я про общий принцип написал, что наследуется с того, что в корне. Не принципиально, какие файлы, какие директории - это пусть разработчики решают.
Раскидывать же htaccess по директориям - за это по рукам били ещё лет так 15 назад. Потому что потом не знаешь, где что и откуда.

и про nginx - для него конфиг в факе есть, и конфиг очень даже махонький.

15

Re: Безопастность

Раскидывать же htaccess по директориям - за это по рукам били ещё лет так 15 назад. Потому что потом не знаешь, где что и откуда.

Я предложил данный вариант т.к. он используется в RS  (RS\File\Tools::makePrivateDir и RS\Helper\Log).

Polo Art пишет:

и про nginx - для него конфиг в факе есть, и конфиг очень даже махонький.

если речь о https://readyscript.ru/faq/#faq-rewrite то, он видимо устарел т.к. не соотносится с .htaccess

16

Re: Безопастность

он видимо устарел

Самые важные строчки там

if (!-e $request_filename) {
        rewrite ^(.*)$ /index.php last;
}

чтобы sef-url работало.
Остальное всё... конфиг неполный, а так, каждый под себя по-любому настраивать будет. В этом и фишка nginx, что разом в одном конфиге настраивается всё, касаемо конкретного сайта. А в апаче размазано - одно тут, другое там.
Я вообще люблю со всех директорий, куда не положено(403), редиректить на главную. И после 404 на главную. Нравится мне так.

Да лан, че спорить, мяч на стороне разработчиков.

17

Re: Безопастность

Polo Art пишет:

Да лан, че спорить, мяч на стороне разработчиков.

да, хотелось бы чтобы все было по возможности закрыто/приватно уже в "коробочной" версии т.к. кеш/дамп-логи результатов запросов могут содержать приватные данные вроде ключа к API службы доставки и т.д.