Přihlásit se

Joomla 5.2.2 Security & Bugfix Release

Joomla 5.2.2 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 5.x.

htaccess

20. led 2013 15:16 - 20. led 2013 15:24 #102430
Odpověď od karel
Zkušený uživatel
Evidentně jste nepochopil informace Vy.
Vaše terminologie není srozumitelná (indexes, stáhnout, spustit (bez stahování)).
Napište třeba jednoduše co se má stát, když v prohlížeči zadáte cestu k souborům:
*.jpg
*.pdf
*.php
*.txt
*.html
*.css
*.xml

například stažení (nevykonání) PHP souboru by bylo dost velké "rizoto" (třeba takový configuration.php ...)

Znáte-li řešení, sdělte ho - pomůžete ostatním při řešení stejného problému, i případný "rádce" bude vědět, poradil-li správně nebo špatně.

20. led 2013 15:43 - 20. led 2013 15:46 #102431
Odpověď od Petr Steel
Pokročilý uživatel
Tedy konkrétně, takhle to vypadá : Indexes - výpis adresáře KLIKNOUT ZDE

Všechno funguje jak má až na to, že motd.html nejde otevřít a stahuje se taky : motd.html KLIKNOUT ZDE

.htacess
Code:
Options +Indexes <IfModule mod_autoindex.c> IndexOptions FancyIndexing </ifModule> <Files *.*> ForceType application/octet-stream Header set Content-Disposition attachment </Files> <Files *.html> Header set Cache-Control no-transform # Header set Content-Disposition attachment </Files>

<Files *.*> todle a tohle <Files *.html> se nejspíš nějak hádají, ale vyhrává tohle <Files *.*>


Zajímavé, že v případě deny a allow tento problém nevzniká tam v pohode dělám to, že zakážu vše a pak povolím jen něco.

20. led 2013 18:03 - 20. led 2013 18:04 #102435
Odpověď od Cony
Moderátor
Takže to, čeho chcete dosáhnout je, že prohlížeč všechny soubory nabídne k uložení (tomu říkáte vy stáhnout) a jen html přímo zobrazí (tomu říkáte spustit).
Pak bych na první pohled řekl, že se Vám ty direktivy nehádaj, jen u té hmtl direktivy Vám chybí přepsi MimeType, tedy něco jako
Code:
<Files *.html> ForceType text/html </Files>
myslím ale že na to jdete špatně, z druhé strany. Pokud to html bude mít v sobě nějaké obrázky, css, odkazy na javaskripty apod. tak si nejsem úplně jist že se zobrazí dobře na všech prohlížečích (jestli vůbec na nějakém). Spíš bych omezil MimeType souborům, které jej dostávají a Vy to nechcete (zřejmě to budou PDF, Videa apod.).

Navíc tohle opravdu nemá s bezpečností serveru co dělat. Hlavně mezi Vaším "stáhnout" a "spustit" je jediný rozdíl, a to jak se zachová prohlížeč. Výsledek je stejný, uživatel dostane data, a jestli si je uloží, nebo spustí je jen na něm.

20. led 2013 18:40 - 20. led 2013 18:44 #102438
Odpověď od Petr Steel
Pokročilý uživatel
Může si vybrat jestli spustit nebo stáhnout ? Spíš stáhnout a na localhostu pustit ne ? :D

Aha, to je možný. Avšak činy jsou důležitější než slova toto je php script ve kterým je pouze echo, pokud se Vám ho podaří spustit, je tam pro Vás v echu vzkaz :P

KLIKNOUT ZDE

Jsem rád, že vím ja ji pomocí filematch a denyúallow hrát s příponama, filetype nebo forcetype či co to je jde kousek mimo mě. Když to tedy dělám špatně, jak by jste to řešil vy ?

§§§§§§§§§§§§§§§§§§§§§§§§§§

PS : Ani s tímto htaccess :
Code:
Options +Indexes <IfModule mod_autoindex.c> IndexOptions FancyIndexing </ifModule> <Files *.*> ForceType application/octet-stream Header set Content-Disposition attachment </Files> <Files *.html> ForceType text/html </Files>

Nevidím v prohlížečí co se ukrývá v souboru :

motd.txt KLIKNOUT ZDE

20. led 2013 18:59 #102440
Odpověď od Cony
Moderátor
Mám pocit že v tom máte pořádnej guláš.

Na serveru Vám nikdo žádný PDF, EXE nebo cokoliv jiného prostě nespustí. Vždy to spouští u sebe na počítači, a to je zas úplně něco jiného než localhost. Localhostem je obvykle označován webový (nebo jiný) server spuštěný na tom konkrétním počítači aten s touto situací nemá naprosto co do činění.

Vzkaz v echu Vám neřeknu, páč v tom PHP máte syntaktickou chybu (na řádku 20 chybí středník). To že mi ale prohlížeč nabídne PHP ke spuštění neznamená že jej na serveru neprovede. Ten PHP skript se normálně na serveru spustí, udělá co má, a jelikož je u něj výstup html tak dle Vašeho htaccess jej pošle jako obsah ke stažení. Já si jej na počítači uložím a prohlédnu. Pokud by jste navíc vypl PHP tak si prohlédnu přímo zdroják PHP, to je to co psal karel0 výše, pokud by to bylo na adresářem Joomly, zaprvý by Vám nefungovala a za druhý by si kazždý prohlíd Vaše hesla k databázi.

A co se týče TXT - odporuje to Vašemu původnímu zadání červeně a zeleně psaneému. Chtěl jste zobrazovat jen html soubory. txt soubor není html soubor, ty direktivy se řídí příponou.

A zmínka ohledně toho opačného postupu - úplně jednoduše, Vy nejprve všemu nastavujete, že se má chovat jako příloha a jen html nastavíte správný typ. Tak to udělejte opačně, vše nechte jak je, z nastavení web serveru a jen u těch přípon u kterých budete vědět že je nechcete zobrazit a oni se zobrazují nastavíte aby se chovali jako příloha.

20. led 2013 19:13 - 20. led 2013 19:18 #102443
Odpověď od Petr Steel
Pokročilý uživatel
Mám pocit že v tom máte pořádnej guláš.
O : Ano, právě mi v hlavě hrají hokejisti na zamrzlém guláši.

Na serveru Vám nikdo žádný PDF, EXE nebo cokoliv jiného prostě nespustí. Vždy to spouští u sebe na počítači, a to je zas úplně něco jiného než localhost. Localhostem je obvykle označován webový (nebo jiný) server spuštěný na tom konkrétním počítači aten s touto situací nemá naprosto co do činění.
O : Já jsem o exe ani pdf nemluvil :D

Vzkaz v echu Vám neřeknu, páč v tom PHP máte syntaktickou chybu (na řádku 20 chybí středník). To že mi ale prohlížeč nabídne PHP ke spuštění neznamená že jej na serveru neprovede. Ten PHP skript se normálně na serveru spustí, udělá co má, a jelikož je u něj výstup html tak dle Vašeho htaccess jej pošle jako obsah ke stažení. Já si jej na počítači uložím a prohlédnu. Pokud by jste navíc vypl PHP tak si prohlédnu přímo zdroják PHP, to je to co psal karel0 výše, pokud by to bylo na adresářem Joomly, zaprvý by Vám nefungovala a za druhý by si kazždý prohlíd Vaše hesla k databázi.
O :
1. Ano, chybu tam mám
2. Takže když kliknu na ten odkaz co jsem Vám poslal tak ten script zároven' spouštím ? No to je to co nechci, dá se to nějak zablokovat?
3. Na chybu jste přišel normálně nebo až po stažení a otevření v prohlížeči ?
4. Co by tento htaccess dělal v adresáři joomly, však je od joomly o 4 adresáře výše :P
5. S databází to také řekl nemá nic ani z letadla, ale vy jste zkušenejší nevím.

A co se týče TXT - odporuje to Vašemu původnímu zadání červeně a zeleně psaneému. Chtěl jste zobrazovat jen html soubory. txt soubor není html soubor, ty direktivy se řídí příponou.
O : Dělejme jako že to tak úplně chápu.

A zmínka ohledně toho opačného postupu - úplně jednoduše, Vy nejprve všemu nastavujete, že se má chovat jako příloha a jen html nastavíte správný typ. Tak to udělejte opačně, vše nechte jak je, z nastavení web serveru a jen u těch přípon u kterých budete vědět že je nechcete zobrazit a oni se zobrazují nastavíte aby se chovali jako příloha.
O : Nevidím na tom nic jednoduššího v té části webu chci zkrátka používat pouze pár .html souborů bez css, bez php, bez mysql, bez NIČEHO Zktrákta jen pár HTML souborů a je nezbytné, aby ostatní se stahovalo, zároven' je nezbytné, aby se nedalo spustit tedy vykonat scriptu napsaného v .php nebo jiných podobných škodných souborech.

§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§
NOVÉ PODMÍNKY :

Prosím o radu jak docílím nejlépe pomocí htaccess :
1. Indexes bude vyditelný pro všechny
2. Všechny soubory půjdou jenom stáhnout ( bez toho, aniž by šly spustit )
3. Všechny .html soubory půjdou jenom spustit

( bez toho, aniž by šly spustit ) = aby nešel na serveru vykonat script v například .php souboru

PS : neměl jsem to pochopit tak, že to takhle udělat nejde ?

Powered by Fórum