Почему дистрибутив Joomla по-прежнему содержит index.html в каждой папке?


Ответы:


9

Я чувствую, что это сценарий «крайнего случая». Большая часть пользователей Joomla была бы в безопасности и без этих файлов, но некоторые люди запускают Joomla на неправильно настроенном хосте (а некоторые на неправильно настроенном хосте, который не позволяет им перенастроить), который отображал бы содержимое каталога, если каталог был просил. Этот файл предотвращает это.

На личном уровне, если вам не нужны файлы, это ненужный раздув в cms, и вы можете удалить их.

На уровне CMS, я думаю, что это решает проблему, которая может иметь серьезные проблемы с безопасностью при относительно небольшом раздутии. (Файлы обычно пусты или содержат крошечную строку HTML.)

Я не могу сказать точную причину, по которой пиар не был принят (так как у меня даже нет такой власти, тем более болтать с людьми, которые это делают); Я думаю, что относительная выгода для сообщества перевешивает раздувание.


При этом, как я слышал, на нескольких мероприятиях Joomla упоминался альтернативный метод перемещения большинства файлов «на уровень». Идея состоит в том, чтобы получить все файлы над public_htmlкаталогом, чтобы к файлам нельзя было получить прямой доступ. Вы бы хотели, чтобы index.phpфайл, .htaccessфайл и папки imagesи были mediaдоступны через Интернет (чтобы ваши CSS, JS и изображения были доступны).

На этом этапе вы меньше полагаетесь на конфигурацию базового сервера и можете в большей степени гарантировать, что к файлам не будет получен неправильный доступ. Это будет иметь свои проблемы с конфигурацией (так как теперь нам нужно получить доступ к файлам выше нашего «корня»).

В общем, я не уверен, что существует более надежный план обеспечения безопасности людей без множества проблем, чем использование index.htmlфайлов. Так что, если бы я выпускал платформу вообще, я бы придерживался index.htmlфайлов.


7

Причина, по которой файл index.html находится в каждой папке, заключается в защите его от раскрытия информации о неправильно настроенной среде размещения.

Если это реальная проблема, и если CMS считает, что это другой вопрос.


1
Фактически, это было обязательным требованием в JED
Анибал

0

Насколько мне известно, для этого никогда не было пиара. Существует функция отслеживания функций ( http://joomlacode.org/gf/project/joomla/tracker/?action=TrackerItemEdit&tracker_item_id=30192 ), которая «готова к просмотру». Патч существует только в ветке и не является пиаром. Таким образом, это, вероятно, причина, почему он никогда не был объединен.

Или вы имеете в виду другой пиар?


Спасибо за то, что нашли этот трекер JC, подумал, что там был пиар, в котором упоминались удаленные файлы, но, возможно, это было излишнее размышление. Не вспоминайте предложенные изменения в .htaccess или патче.
Соваинфо

Разве это не комментарий, а ответ?
Jo-Erlend

Это правильный ответ на вопрос :)
Bakual
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.