[mic_jan]

Hi,

ich wollte heute mal naw_securedl ausprobieren:

http://typo3.org/extensions/reposito...ecuredl/0.2.2/

Aber die in der Doku angesprochenen Beispiele im "res"-Ordner gibt es nicht, da es den "res"-Ordner nicht gibt. Weiß jemand, wie es trotzdem klappt?

Gruss,

Michael

[mic_jan]

So, zu später Stunde hatte ich noch eine Idee... ich habe einfach die "alten" Versionen der Extension installiert... und tatsächlich gab es da mal den res-Ordner:

Code:

<FilesMatch "\.([Pp][Dd][Ff]|[Jj][Pp][Ee]?[Gg]|[Gg][Ii][Ff]|[Pp][Nn][Gg]|[Dd][Oo][Cc]|[Pp][Dd][Ff]|[Xx][Ll][Ss]|[Rr][Aa][Rr]|[Tt][Gg][Zz]|[Tt][Aa][Rr]|[Gg][Zz])">
Order deny,allow
Deny from all
Allow from none
</FilesMatch>

Gruss,

Michael

[sysco]

Zitat:

Zitat von mic_jan

... ich habe einfach die "alten" Versionen der Extension installiert...

Da komme ich leider nicht mehr ran.

Zitat:

Zitat von mic_jan

Code:

<FilesMatch "\.([Pp][Dd][Ff]|[Jj][Pp][Ee]?[Gg]|[Gg][Ii][Ff]|[Pp][Nn][Gg]|[Dd][Oo][Cc]|[Pp][Dd][Ff]|[Xx][Ll][Ss]|[Rr][Aa][Rr]|[Tt][Gg][Zz]|[Tt][Aa][Rr]|[Gg][Zz])">
Order deny,allow
Deny from all
Allow from none
</FilesMatch>

Ich verstehe nicht was der Parameter von FilesMath prüft. Und überhaupt fehlen mir die Beispiele aus diesem '/res' Ordner, den es ja nicht mehr gibt.

[sysco]

Ok, verstanden habe ich es inzwischen. Da gibt es aber ein Problem: Diese .htaccess-Beschränkungen lassen sich doch umgehen, wenn jemand eine eigene .htaccess Datei hochlädt und für Unterverzeichnisse wieder etwas anderes definiert. Das heißt, das Hochladen von .htaccess Dateien müsste unterbunden werden (oder überhaupt von Dateien die mit einem Punkt beginnen). Wenn ich mich nicht irre muss man dafür in die Typo3 interna und da mit TypoScript rumspielen. Oder doch eher auf der Apache-Konfigurationsebene arbeiten?

[mic_jan]

Zitat:

Zitat von sysco

Ok, verstanden habe ich es inzwischen. Da gibt es aber ein Problem: Diese .htaccess-Beschränkungen lassen sich doch umgehen, wenn jemand eine eigene .htaccess Datei hochlädt und für Unterverzeichnisse wieder etwas anderes definiert.

Wer soll denn wie eine Datei mit einem Punkt hochladen?

Gruss,

Michael

[sysco]

Zitat:

Zitat von mic_jan

Wer soll denn wie eine Datei mit einem Punkt hochladen?

Jeder normale Backend-User über das Datei-Modul.

[mic_jan]

Zitat:

Zitat von sysco

Jeder normale Backend-User über das Datei-Modul.

Okay, sollte es nur ein Verzeichnis geben, dann würde ich die Rechte so vergeben, das zwar die htaccess sichtbar, aber nicht beschreibbar ist. So kann nüscht geändert werden.

Ansonsten kommt die htaccess unterhalb des Ordners in dem die Dateien schlussendlich liegen sollen. Und der Filemount wird auf den entsprechenden Oberordner gelegt.

Oder (Das beste immer zum Schluss ;) ) gehst du ins InstallTool unter [fileDenyPattern] und trägst da was passendes ein.

Was hälst du davon?

Gruss,

Michael

[sysco]

fileDenyPattern ist gar nicht mal so verkehrt. Allerdings wähle ich einen anderen Weg. Ich kann Apache sagen, daß er beim Finden eines bestimmten Verzeichnis-Pattern alle unautorisierten Anfagen blocken soll.
Jetzt habe ich in der Extension versucht ein Pattern zu erstellen, das alle Dateinamen abdeckt. Aber das will nicht so richtig.
Entweder wird der Pattern im 'filetype' ignoriert, weil wahrscheinlich falsch oder es wird kein Hashcode angehängt.

Pattern wie:

'.*\.*' hängt kein Hashcode an und '.*\.*$' leitet die Anfrage gar nicht erst über die Extension, geweige denn ein Hashcode. Ich habe den Verdacht, daß es da ein Bug gibt.
Was ich will, ist ein regulärer Ausdruck für '*.*', sprich für alle Dateien bzw. alle Dateien blocken.