Es gab einen PR zum Entfernen der index.html-Dateien, der jedoch nie angewendet wurde. Warum ist das so?
quelle
Es gab einen PR zum Entfernen der index.html-Dateien, der jedoch nie angewendet wurde. Warum ist das so?
Ich denke, dies ist ein "Randfall" -Szenario. Ein großer Teil der Joomla-Benutzer wäre ohne diese Dateien sicher, aber einige Benutzer führen Joomla auf einem falsch konfigurierten Host aus (und einige auf einem falsch konfigurierten Host, auf dem sie nicht neu konfigurieren können), auf dem der Verzeichnisinhalt angezeigt wird, wenn das Verzeichnis vorhanden ist angefordert. Diese Datei verhindert das.
Auf persönlicher Ebene ist es unnötig, die Dateien aufzublähen, wenn Sie die Dateien nicht benötigen, und Sie können sie entfernen.
Auf CMS-Ebene denke ich, dass es ein Problem löst, das große Sicherheitsprobleme mit relativ geringem Aufblähen haben kann. (Die Dateien sind normalerweise leer oder enthalten eine winzige HTML-Zeile.)
Ich kann nicht mit dem genauen Grund sprechen, warum die PR nicht akzeptiert wurde (da ich nicht einmal diese Macht habe, geschweige denn mit den Leuten zu plaudern, die das tun); Ich denke, dass der relative Nutzen für die Gemeinschaft das Aufblähen überwiegt.
Davon abgesehen gibt es eine alternative Methode, die ich bei einigen Joomla-Veranstaltungen erwähnt habe, um die Mehrheit der Dateien "auf eine höhere Ebene" zu verschieben. Die Idee ist, alle Dateien über dem public_html
Verzeichnis abzurufen, damit nicht direkt auf die Dateien zugegriffen werden kann. Sie wollen nur die index.php
Datei, .htaccess
Datei und die images
und media
Ordner Web zugänglich (halten Ihre CSS, JS und Bilder zugänglich.)
Zu diesem Zeitpunkt verlassen Sie sich weniger auf eine Basisserverkonfiguration und können mehr garantieren, dass auf die Dateien nicht unangemessen zugegriffen wird. Dies hätte seine eigenen Konfigurationsprobleme (da wir jetzt auf Dateien über unserem "Stamm" zugreifen müssen).
Alles in allem bin ich mir nicht sicher, ob es einen narrensichereren Plan gibt, um die Sicherheit der Menschen ohne viele Probleme zu gewährleisten, als die Verwendung von index.html
Dateien. Wenn ich also generell eine Plattform veröffentlichen würde, würde ich mich an index.html
Dateien halten.
Der Grund für eine index.html in jedem Ordner besteht darin, sie zu schützen, um Informationen über falsch konfigurierte Hosting-Umgebungen offenzulegen.
Wenn dies ein echtes Problem ist und die CMS dies berücksichtigen sollten, ist dies eine andere Frage.
Meines Wissens gab es dafür nie eine PR. Es gibt einen Feature-Tracker ( http://joomlacode.org/gf/project/joomla/tracker/?action=TrackerItemEdit&tracker_item_id=30192 ), der "zur Überprüfung bereit" ist. Der Patch existiert nur in einem Zweig und ist kein PR. Daher ist dies wahrscheinlich der Grund, warum es nie zusammengeführt wurde.
Oder beziehen Sie sich auf eine andere PR?
quelle