in der .htaccess-Datei, die mit dem 7.6er Core ausgeliefert wird, steht zum Beispiel das drin:

<FilesMatch "(?i:^\.|^#.*#|^(?:ChangeLog|ToDo|Readme|License)(?:\.md|\.txt)?|^composer\.(?:json|lock)|^ext_conf_template\.txt|^ext_typoscript_constants\.txt|^ext_typoscript_setup\.txt|flexform[^.]*\.xml|locallang[^.]*\.(?:xml|xlf)|\.(?:bak|co?nf|cfg|ya?ml|ts|dist|fla|in[ci]|log|sh|sql(?:\..*)?|sw[op]|git.*)|.*(?:~|rc))$">
    # Apache < 2.3
    <IfModule !mod_authz_core.c>
        Order allow,deny
        Deny from all
        Satisfy All
    </IfModule>

    # Apache ≥ 2.3
    <IfModule mod_authz_core.c>
        Require all denied
    </IfModule>
</FilesMatch>

Das lässt sich dann noch um sowas wie ".ts", ".typoscript" usw erweitern...

Lieben Gruß,
André


Am 17.11.2015 um 13:21 schrieb Arne-Kolja Bachstein:
Huch, sorry. Hätte bis zum Ende lesen sollen :-)

Am 17.11.2015 um 13:17 schrieb Alexander Averbuch <a...@gmx.net>:

Hallo zusammen,

ich habe mehrere TYPO3-Websites geprüft und habe festgestellt, dass einige 
Extension-Files oder TypoScript-Files aus dem fileadmin-Verzeichnis aufrufbar 
sind.

Mein Problem: Ich entwickle eine große Website mit ca. 40 Extbase-Extensions. 
Leider sind die Dateien wie ext_tables.sql oder 
Configuration/TypoScript/setup.txt gar nicht geschützt, und jeder, der sich mit 
TYPO3 auskennt, weiß, wo sie liegen und kann sie aufrufen. Ich finde es 
überhaupt nicht gut. Das ist auf jeden Fall Futter für einen Hacker. Was kann 
man unternehmen? Wenn ich im .htaccess alle Dateien im Verzeichnis 
typo3conf/ext schütze, muss ich noch berücksichtigen, dass ext_icon.gif und 
alle Dateien aus dem Resources/Public-Ordner aufrufbar sein müssen. Und 
vielleicht gibt es bei einer oder anderer Extensions andere Dateien/Ordner, die 
aufrufbar sein müssen. Ich sehe im Moment keine allgemeine Lösung. Wenn ich auf 
Anhieb eine TYPO3-Website nehme, ist sie von dem Problem auch betroffen.
Probiert mal bei euren Websites sowas wie:

www.domain.ltd/typo3conf/ext/meiextension/Configuration/TypoScript/setup.txt   
oder
www.domain.ltd/typo3conf/ext/meiextension/ext_tables.sql

_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

Antwort per Email an