Warum enthält eine Joomla-Distribution immer noch index.html in jedem Ordner?

8

Es gab einen PR zum Entfernen der index.html-Dateien, der jedoch nie angewendet wurde. Warum ist das so?

Sovainfo
quelle

Antworten:

9

Ich denke, dies ist ein "Randfall" -Szenario. Ein großer Teil der Joomla-Benutzer wäre ohne diese Dateien sicher, aber einige Benutzer führen Joomla auf einem falsch konfigurierten Host aus (und einige auf einem falsch konfigurierten Host, auf dem sie nicht neu konfigurieren können), auf dem der Verzeichnisinhalt angezeigt wird, wenn das Verzeichnis vorhanden ist angefordert. Diese Datei verhindert das.

Auf persönlicher Ebene ist es unnötig, die Dateien aufzublähen, wenn Sie die Dateien nicht benötigen, und Sie können sie entfernen.

Auf CMS-Ebene denke ich, dass es ein Problem löst, das große Sicherheitsprobleme mit relativ geringem Aufblähen haben kann. (Die Dateien sind normalerweise leer oder enthalten eine winzige HTML-Zeile.)

Ich kann nicht mit dem genauen Grund sprechen, warum die PR nicht akzeptiert wurde (da ich nicht einmal diese Macht habe, geschweige denn mit den Leuten zu plaudern, die das tun); Ich denke, dass der relative Nutzen für die Gemeinschaft das Aufblähen überwiegt.


Davon abgesehen gibt es eine alternative Methode, die ich bei einigen Joomla-Veranstaltungen erwähnt habe, um die Mehrheit der Dateien "auf eine höhere Ebene" zu verschieben. Die Idee ist, alle Dateien über dem public_htmlVerzeichnis abzurufen, damit nicht direkt auf die Dateien zugegriffen werden kann. Sie wollen nur die index.phpDatei, .htaccessDatei und die imagesund mediaOrdner Web zugänglich (halten Ihre CSS, JS und Bilder zugänglich.)

Zu diesem Zeitpunkt verlassen Sie sich weniger auf eine Basisserverkonfiguration und können mehr garantieren, dass auf die Dateien nicht unangemessen zugegriffen wird. Dies hätte seine eigenen Konfigurationsprobleme (da wir jetzt auf Dateien über unserem "Stamm" zugreifen müssen).

Alles in allem bin ich mir nicht sicher, ob es einen narrensichereren Plan gibt, um die Sicherheit der Menschen ohne viele Probleme zu gewährleisten, als die Verwendung von index.htmlDateien. Wenn ich also generell eine Plattform veröffentlichen würde, würde ich mich an index.htmlDateien halten.

David Fritsch
quelle
7

Der Grund für eine index.html in jedem Ordner besteht darin, sie zu schützen, um Informationen über falsch konfigurierte Hosting-Umgebungen offenzulegen.

Wenn dies ein echtes Problem ist und die CMS dies berücksichtigen sollten, ist dies eine andere Frage.

Harald Leithner
quelle
1
Tatsächlich war es eine Anforderung bei JED
Anibal am
0

Meines Wissens gab es dafür nie eine PR. Es gibt einen Feature-Tracker ( http://joomlacode.org/gf/project/joomla/tracker/?action=TrackerItemEdit&tracker_item_id=30192 ), der "zur Überprüfung bereit" ist. Der Patch existiert nur in einem Zweig und ist kein PR. Daher ist dies wahrscheinlich der Grund, warum es nie zusammengeführt wurde.

Oder beziehen Sie sich auf eine andere PR?

Bakual
quelle
Vielen Dank, dass Sie diesen JC-Tracker gefunden haben. Ich dachte, es gibt einen PR, der die entfernten Dateien erwähnt, aber vielleicht war das Wunschdenken. Erinnern Sie sich nicht an die vorgeschlagenen Änderungen an .htaccess oder dem Patch.
Sovainfo
Sollte das nicht eher ein Kommentar als eine Antwort gewesen sein?
Jo-Erlend
Es ist die richtige Antwort auf die Frage :)
Bakual