Тема: Безопастность
.htaccess
Deny from allдля папок cache и logs.
Re: Безопастность
В стандартном htaccess в корне.
#Запрещаем открывать файлы напрямую
<Files ~ "(\.inc\.php|\.tpl|\.tpl\.php|\.auto\.php|\.auto\.xml)$">
Order allow,deny
Deny from all
</Files>
−1 
Re: Безопастность
Polo Art пишет:
В стандартном htaccess в корне.
#Запрещаем открывать файлы напрямую
<Files ~ "(\.inc\.php|\.tpl|\.tpl\.php|\.auto\.php|\.auto\.xml)$">
Order allow,deny
Deny from all
</Files>
святая наивность
Re: Безопастность
Ярослав пишет:
Ваши предложения?
озвучено в первом посте
Re: Безопастность
Всю папку /cache/ нельзя закрывать, так как в ней еще находятся сжатые css и js (при включении соответствующей опции).
А вот папку cache/engine - закрыть нужно.
Можно добавить в корневой .htaccess строку:
RewriteRule ^cache/engine/ - [R=403,NC,L]
Re: Безопастность
admin пишет:
Всю папку /cache/ нельзя закрывать, так как в ней еще находятся сжатые css и js (при включении соответствующей опции).
А вот папку cache/engine - закрыть нужно.
Можно добавить в корневой .htaccess строку:RewriteRule ^cache/engine/ - [R=403,NC,L]
почему не реализовать это на уровне CMS? хотя бы опционально.
Re: Безопастность
Потому, что полноценного файлового менеджера у нас внутри нет. Он действует только в рамках шаблонов.
Re: Безопастность
Закусило Александр пишет:
Потому, что полноценного файлового менеджера у нас внутри нет. Он действует только в рамках шаблонов.
А какая между ними связь?
Re: Безопастность
Ну а как вы предлагаете добавлять эти файлы .htaccess через интерфейс RS?
11 18.03.2019 19:34:11 Отредактировано EnsoStudio (18.03.2019 19:41:53)
Re: Безопастность
Закусило Александр пишет:
Ну а как вы предлагаете добавлять эти файлы .htaccess через интерфейс RS?
зачем добавлять их через интерфейс RS? Особых изысков не требуется: если опция активна создаем в cache и logs .htaccess файлы блокирующие доступ к логам и системному кешу, нет - удаляем/переименовываем .htaccess.
"/cache/engine/.htaccess", "/logs/.htaccess" содержащие "Deny from all".
Re: Безопастность
Я что-то не понимаю всей темы
Структура апачевских htaccess наследуется, т.е. если htaccess лежит в корне, то он работает на все каталоги, если не перебито внутренними через AllowOverride.
Если написано в корневом htaccess
<Files ~ "(\.inc\.php|\.tpl|\.tpl\.php|\.auto\.php|\.auto\.xml)$">
Order allow,deny
Deny from all
</Files>
значит, закрыты от внешнего открытия все .inc.php, .tpl, .tpl.php, .auto.php, .xml что найдутся на одном уровне или ниже
добавьте сюда .tmp
Добавьте в корневой
RewriteRule ^cache/engine/ - [R=403,NC,L]
И ВСЁ!
Не надо никаких htaccess внутри вложенных каталогов.
БезопасТность следует реализовать на уровне разработчиков, т.е. предлагать в стоке уже прокачанный htaccess и нехай он в корне у всех новых ридискриптов лежит, в чём тут проблема-то?
***
Особых изысков не требуется: если опция активна создаем в cache и logs .htaccess файлы блокирующие доступ к логам и системному кешу, нет - удаляем/переименовываем .htaccess.
Айн момент, сэр - поверюзеры апач не юзают. Вообще. Нафиг он нужен-то в эпоху vps за два бакса и nginx?
То есть, любая фича подобного рода, включаемая в админке, на nginx работать не будет - ибо прав www не хватит писать в рутовые файлики.
Может, я что-то не знаю, так расскажите.
Re: Безопастность
Polo Art пишет:
добавьте сюда .tmp
у кеш файлов нет расширений, да и про логи забыли
Polo Art пишет:
Не надо никаких htaccess внутри вложенных каталогов.
БезопасТность следует реализовать на уровне разработчиков, т.е. предлагать в стоке уже прокачанный htaccess и нехай он в корне у всех новых ридискриптов лежит, в чём тут проблема-то?
как я уже писал, главное прикрыть доступ, конечная реализация для меня роли не играет
Polo Art пишет:
Нафиг он нужен-то в эпоху vps за два бакса и nginx?
IIS тоже может быть и что дальше? Давайте не будет мешать все в одну кучу - когда разработчики RS решать добавить конфиги для этих серверов тогда и обсудим.
Re: Безопастность
у кеш файлов нет расширений, да и про логи забыли
Да я про общий принцип написал, что наследуется с того, что в корне. Не принципиально, какие файлы, какие директории - это пусть разработчики решают.
Раскидывать же htaccess по директориям - за это по рукам били ещё лет так 15 назад. Потому что потом не знаешь, где что и откуда.
и про nginx - для него конфиг в факе есть, и конфиг очень даже махонький.
Re: Безопастность
Раскидывать же htaccess по директориям - за это по рукам били ещё лет так 15 назад. Потому что потом не знаешь, где что и откуда.
Я предложил данный вариант т.к. он используется в RS (RS\File\Tools::makePrivateDir и RS\Helper\Log).
Polo Art пишет:
и про nginx - для него конфиг в факе есть, и конфиг очень даже махонький.
если речь о https://readyscript.ru/faq/#faq-rewrite то, он видимо устарел т.к. не соотносится с .htaccess
Re: Безопастность
он видимо устарел
Самые важные строчки там
if (!-e $request_filename) {
rewrite ^(.*)$ /index.php last;
}чтобы sef-url работало.
Остальное всё... конфиг неполный, а так, каждый под себя по-любому настраивать будет. В этом и фишка nginx, что разом в одном конфиге настраивается всё, касаемо конкретного сайта. А в апаче размазано - одно тут, другое там.
Я вообще люблю со всех директорий, куда не положено(403), редиректить на главную. И после 404 на главную. Нравится мне так.
Да лан, че спорить, мяч на стороне разработчиков.
Re: Безопастность
Polo Art пишет:
Да лан, че спорить, мяч на стороне разработчиков.
да, хотелось бы чтобы все было по возможности закрыто/приватно уже в "коробочной" версии т.к. кеш/дамп-логи результатов запросов могут содержать приватные данные вроде ключа к API службы доставки и т.д.
