Berechtigungsproblem oder Sicherheitslücke?
Eingetragen von Anonymous (0)
am 29.09.2006 - 12:33 Uhr in
am 29.09.2006 - 12:33 Uhr in
Habe auf einem Windows-Rechner eine Test-Installation laufen: Die Anhänge zu den Artikeln sind im Verzeichnis \files abgelegt. Die Seite ist nur für registrierte Nutzer zugänglich. Wenn man aber den Pfad+Namen zu einer Datei im /files-Verzeichnis kennt, bekommt man Zugang zu den Dateien. Wie kann man das verhindern?
- Anmelden oder Registrieren um Kommentare zu schreiben
Files
am 29.09.2006 - 14:58 Uhr
Du musst unter admin/settings/ - Dateisytem-Einstellungen die Download Methode auf 'privat' setzen und deinen "files" Ordner oberhalb deines Web-Roots anlegen und Drupal bekannt machen.
vg, md - drupalcenter
--
www.mdwp.de
vg
md - DrupalCenter.de
mdwp* Drupal Consulting & Services
Die Downloadmethode auf
am 29.09.2006 - 14:59 Uhr
Die Downloadmethode auf private umstellen und den Files-Ordner aus dem WWW-Verzeichnis herausnehmen (oder zur Not, den Ordner sperren).
Hat bei mir nicht geholfen,
am 29.09.2006 - 23:27 Uhr
Hat bei mir nicht geholfen, das eingangs beschriebene Problem besteht weiter - siehe:
http://www.drupalcenter.de/node/1764
--------------------------------
http://www.autokauf-und-recht.de
--------------------------------
Als Bug posten
am 29.09.2006 - 23:47 Uhr
Dann bitte den "Mut" aufbringen und bei www.drupal.org als bug und Sicherheitsrisiko posten.
It's Open Source!
vg, md - drupalcenter
--
www.mdwp.de
vg
md - DrupalCenter.de
mdwp* Drupal Consulting & Services
Test war erfolgreich
am 06.10.2006 - 16:01 Uhr
Habe es inzwischen mit einem frischen 4.7.3-System getestet. Es scheint alles zu funktionieren. Danke für die Tips.