web-dev-qa-db-fra.com

Pourquoi une distribution Joomla contient-elle toujours index.html dans chaque dossier?

Il y a eu un RP pour supprimer les fichiers index.html, mais cela n'a jamais été appliqué. Pourquoi donc?

8
sovainfo

J'ai l'impression qu'il s'agit d'un scénario "de cas Edge". Une grande partie des utilisateurs de Joomla seraient en sécurité sans ces fichiers, mais certaines personnes exécutent Joomla sur un hôte mal configuré (et d'autres sur un hôte mal configuré qui ne les laissera pas reconfigurer), ce qui afficherait le contenu du répertoire si celui-ci était affiché. demandé. Ce fichier empêche cela.

Sur un plan personnel, si vous n'avez pas besoin des fichiers, il est inutile de gonfler le cms et vous pouvez les supprimer.

Au niveau du système de gestion de contenu, je pense que cela résout un problème qui peut entraîner des problèmes de sécurité majeurs avec une surcharge relativement mineure. (Les fichiers sont généralement vides ou contiennent une petite ligne de code HTML.)

Je ne peux pas parler de la raison exacte pour laquelle le RP n'a pas été accepté (étant donné que je n'ai même pas ce pouvoir, encore moins bavarder avec les gens qui en ont). Je pense que le bénéfice relatif pour la communauté l'emporte sur le fardeau.


Cela étant dit, il existe une méthode alternative dont j'ai entendu parler lors de quelques événements Joomla, consistant à déplacer la majorité des fichiers "à un niveau supérieur". L’idée est d’obtenir tous les fichiers au-dessus du public_html répertoire afin que les fichiers ne puissent pas être accédés directement. Vous voudriez seulement le index.php fichier, .htaccess fichier, et les dossiers images et media sont accessibles sur le Web (pour que votre fichier CSS, JS et vos images restent accessibles).

À ce stade, vous vous reposez moins sur une configuration de serveur de base et pouvez davantage garantir que les fichiers ne seront pas consultés de manière inappropriée. Cela aurait ses propres problèmes de configuration (puisque maintenant nous devons accéder aux fichiers au-dessus de notre "racine").

Dans l’ensemble, je ne suis pas sûr qu’il existe un plan plus sûr pour protéger les personnes sans beaucoup de problèmes que d’utiliser index.html des dossiers. Donc, si je publiais une plateforme en général, je m'en tenais à index.html des dossiers.

9
David Fritsch

La raison de l'index.html dans chaque dossier est de le protéger afin de divulguer des informations sur un environnement d'hébergement mal configuré.

S'il s'agit d'un réel problème et si le cms doit en tenir compte, c'est une autre question.

7
Harald Leithner

À ma connaissance, il n'y a jamais eu de relations publiques pour cela. Il existe un dispositif de suivi des fonctionnalités ( http://joomlacode.org/gf/project/joomla/tracker/?action=TrackerItemEdit&tracker_item_id=30192 ) qui est "prêt pour examen". Le correctif n'existe que dans une branche et n'est pas un PR. C'est donc probablement la raison pour laquelle il n'a jamais été fusionné.

Ou parlez-vous d'un autre PR?

0
Bakual