Joomla 5.2.2 Security & Bugfix Release
Joomla 5.2.2 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 5.x.
Zabezpečení, zaheslování složky
20. pro 2023 15:31 - 20. pro 2023 15:56 #148998
Ahoj.
Mám složku DATA v této složce mám další složky LEDEN, ÚNOR.... , a v každé této složce mám soubor index.html. Pak mám udělanou stránku, kde jsou odkazy na jednotlivé indexy v jednotlivých měsících. Tato stránka se soupisem odkazů na všechny indexy.html se zobrazí jen pro registrované uživatele.
PROBLÉM: Když kdokoliv vypíše cestu k indexu (mujweb/....DATA/LEDEN/index.html) tak se mu tento soubor spustí. Jak ošetřit, aby to nešlo spustit napsáním adresy do adresního řádku? Ideálně aby (když to někdo napíše do adresního řádku) to po něm chtělo heslo. Máte nápad jak toto ošetřit, aby stránku s index.html mohl číst jen ten, komu dám přístup? A také jak to ošetřit, aby Google toto nemohl zaindexovat a pak nabízet ve výsledcích hledání?
Mám jít cestou .htaccess a .htpasswd, nebo jinak?
Díky za nápady
Mám složku DATA v této složce mám další složky LEDEN, ÚNOR.... , a v každé této složce mám soubor index.html. Pak mám udělanou stránku, kde jsou odkazy na jednotlivé indexy v jednotlivých měsících. Tato stránka se soupisem odkazů na všechny indexy.html se zobrazí jen pro registrované uživatele.
PROBLÉM: Když kdokoliv vypíše cestu k indexu (mujweb/....DATA/LEDEN/index.html) tak se mu tento soubor spustí. Jak ošetřit, aby to nešlo spustit napsáním adresy do adresního řádku? Ideálně aby (když to někdo napíše do adresního řádku) to po něm chtělo heslo. Máte nápad jak toto ošetřit, aby stránku s index.html mohl číst jen ten, komu dám přístup? A také jak to ošetřit, aby Google toto nemohl zaindexovat a pak nabízet ve výsledcích hledání?
Mám jít cestou .htaccess a .htpasswd, nebo jinak?
Díky za nápady
20. pro 2023 16:09 - 20. pro 2023 16:10 #148999
Phoca Cart - www.phoca.cz/phocacart - e-shop, e-commerce
Phoca Gallery - www.phoca.cz/phocagallery - obrázková galerie
Phoca Download - www.phoca.cz/phocadownload - stahování souborů
Phoca Guestbook - www.phoca.cz/phocaguestbook - guestbook
Odpověď od H13
Admin
Ahoj, těch řešení je mnoho, například:
a) .htaccess
b) tokeny
c) soubory mimo public_html
a) V .htaccessu se dají nastavovat různá omezení pro přístup do složek, ale samozřejmě tam asi neuděláš standardní ACL (tedy přístup pro jednotlivé uživatele). V rozšířeních se to většinou řeší pomocí ACL.
b) Složky a soubory mohou obsahovat jedinečný neuhádnutelný string (token), tím pádem má přístup k souborům pouze člověk, který zná přesný link včetně tokenů (nevýhoda je v tom, že link může sdílet). Toto je také většinou řešeno v rozšířeních.
c) Uložené soubory mimo public_html nemohou být přístupné z internetu, může k nim ale přistupovat skript, kde je možné znovu použít ACL. Toto je také většinou řešeno v rozšířeních.
a) .htaccess
b) tokeny
c) soubory mimo public_html
a) V .htaccessu se dají nastavovat různá omezení pro přístup do složek, ale samozřejmě tam asi neuděláš standardní ACL (tedy přístup pro jednotlivé uživatele). V rozšířeních se to většinou řeší pomocí ACL.
b) Složky a soubory mohou obsahovat jedinečný neuhádnutelný string (token), tím pádem má přístup k souborům pouze člověk, který zná přesný link včetně tokenů (nevýhoda je v tom, že link může sdílet). Toto je také většinou řešeno v rozšířeních.
c) Uložené soubory mimo public_html nemohou být přístupné z internetu, může k nim ale přistupovat skript, kde je možné znovu použít ACL. Toto je také většinou řešeno v rozšířeních.
Phoca Cart - www.phoca.cz/phocacart - e-shop, e-commerce
Phoca Gallery - www.phoca.cz/phocagallery - obrázková galerie
Phoca Download - www.phoca.cz/phocadownload - stahování souborů
Phoca Guestbook - www.phoca.cz/phocaguestbook - guestbook
20. pro 2023 16:30 #149000
Odpověď od rvanicek
Uživatel
dík za rychlou reakci.
a) .htaccess - stačil by mi přístup jen pro 7 uživatelů. To by šlo? Nebo je to nějak omezeno?
c) soubory mimo public_html - neznám. Můžeš mi to prosím trochu objasnit, jaké jsou podmínky, co kam dát.... (zbytek bych nastudoval na www)
Děkuji a přeji příjemné svátky
a) .htaccess - stačil by mi přístup jen pro 7 uživatelů. To by šlo? Nebo je to nějak omezeno?
c) soubory mimo public_html - neznám. Můžeš mi to prosím trochu objasnit, jaké jsou podmínky, co kam dát.... (zbytek bych nastudoval na www)
Děkuji a přeji příjemné svátky
20. pro 2023 20:16 #149002
Odpověď od Cony
Moderátor
Soubory mimo public_html znamená uložit soubory do cesty na serveru, která není dostupná přes webové rozhranní, tzn. pokud je web na serveru např. v cestě /var/www tak si vytvořit složku vedle /var/data a do té dávat všechny soubory, které nemají být běžně dostupné. To ale vyžaduje pak nějakou komponentu, která s těmi soubory umí pracovat a zpřístupnit je pro stažení uživatelů, kteří na to mají právo (např. zmiňovaný Phoca Download), tzn. ne pro Váš případ.
Obecně mi ale přijde, že v rámci jednoduchosti vymýšlíte komplikovaná a nesystémová řešení...
Obecně mi ale přijde, že v rámci jednoduchosti vymýšlíte komplikovaná a nesystémová řešení...
20. pro 2023 20:19 #149003
Odpověď od Cony
Moderátor
Ad htaccess, počet uživatelů asi není teoreticky omezen, na správu to bude trochu protivnější, ale šlo by to. Některé hostingy na to mají v rámci administrace "udělátko", stačí zadat cestu a seznam uživatelů, a hosting správné soubory vygeneruje.
Pokud ne, tak rychlé hledání na google našlo třeba toto .
Pokud ne, tak rychlé hledání na google našlo třeba toto .
21. pro 2023 07:19 #149004
Odpověď od rvanicek
Uživatel
Možná to vymýšlím komplikovaně, proto se ptám.
Prostě mám data, které potřebuji publikovat jen určitým lidem (a ochránit to před indexováním Googlu). Data jsou vlastně malinkatý statický web, který se spouští souborem index.html. Toto publikování probíhá každý měsíc, s tím, že stará data tam musí zůstat jako archiv.
Jak byste to udělal jednoduše?
Děkuji za nápady
Prostě mám data, které potřebuji publikovat jen určitým lidem (a ochránit to před indexováním Googlu). Data jsou vlastně malinkatý statický web, který se spouští souborem index.html. Toto publikování probíhá každý měsíc, s tím, že stará data tam musí zůstat jako archiv.
Jak byste to udělal jednoduše?
Děkuji za nápady