in der .htaccess-Datei, die mit dem 7.6er Core ausgeliefert wird, steht
zum Beispiel das drin:
<FilesMatch
"(?i:^\.|^#.*#|^(?:ChangeLog|ToDo|Readme|License)(?:\.md|\.txt)?|^composer\.(?:json|lock)|^ext_conf_template\.txt|^ext_typoscript_constants\.txt|^ext_typoscript_setup\.txt|flexform[^.]*\.xml|locallang[^.]*\.(?:xml|xlf)|\.(?:bak|co?nf|cfg|ya?ml|ts|dist|fla|in[ci]|log|sh|sql(?:\..*)?|sw[op]|git.*)|.*(?:~|rc))$">
# Apache < 2.3
<IfModule !mod_authz_core.c>
Order allow,deny
Deny from all
Satisfy All
</IfModule>
# Apache ≥ 2.3
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
</FilesMatch>
Das lässt sich dann noch um sowas wie ".ts", ".typoscript" usw erweitern...
Lieben Gruß,
André
Am 17.11.2015 um 13:21 schrieb Arne-Kolja Bachstein:
Huch, sorry. Hätte bis zum Ende lesen sollen :-)
Am 17.11.2015 um 13:17 schrieb Alexander Averbuch <a...@gmx.net>:
Hallo zusammen,
ich habe mehrere TYPO3-Websites geprüft und habe festgestellt, dass einige
Extension-Files oder TypoScript-Files aus dem fileadmin-Verzeichnis aufrufbar
sind.
Mein Problem: Ich entwickle eine große Website mit ca. 40 Extbase-Extensions.
Leider sind die Dateien wie ext_tables.sql oder
Configuration/TypoScript/setup.txt gar nicht geschützt, und jeder, der sich mit
TYPO3 auskennt, weiß, wo sie liegen und kann sie aufrufen. Ich finde es
überhaupt nicht gut. Das ist auf jeden Fall Futter für einen Hacker. Was kann
man unternehmen? Wenn ich im .htaccess alle Dateien im Verzeichnis
typo3conf/ext schütze, muss ich noch berücksichtigen, dass ext_icon.gif und
alle Dateien aus dem Resources/Public-Ordner aufrufbar sein müssen. Und
vielleicht gibt es bei einer oder anderer Extensions andere Dateien/Ordner, die
aufrufbar sein müssen. Ich sehe im Moment keine allgemeine Lösung. Wenn ich auf
Anhieb eine TYPO3-Website nehme, ist sie von dem Problem auch betroffen.
Probiert mal bei euren Websites sowas wie:
www.domain.ltd/typo3conf/ext/meiextension/Configuration/TypoScript/setup.txt
oder
www.domain.ltd/typo3conf/ext/meiextension/ext_tables.sql
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german