Alle module-directories via browser te openen. Hoe te voorkomen?

[Jefff]

Hallo community, mijn eerste bericht hier. Wat goed om te zien dat er een NL deel op het forum is!

 

Ik ben bijna klaar met het opzetten van m'n webshop, maar kom bij het finetunen nog wat raars tegen. Ik kan namelijk alle directories van de modules gewoon in mn browser openen, zoals http://domein.nl/modules/autoupgrade/

 

Dat hoort toch niet, neem ik aan?

Het kon zelfs met http://domein.nl/modules/icepay/log/ dus deze logs waren openbaar! Deze en andere modules heb ik gewoon 'zoals het heurt' via de admin geinstalleerd.

 

Hoe kan ik zorgen dat alles onder /modules is afgeschermd, maar dat niet de werking ervan wordt belemmerd? Iemand een oplossing?

 

(ps: Icepay/log nu chmod naar 711 gezet, logs wegschrijven gaat goed [in testmodus nog] maar dir is nu niet meer in browser te openen)

 

Alvast bedankt voor het meedenken

[maconl]

hoi ,

dan heb je waarschijnlijk alle bestanden de 777 rechten gegeven ipv alleen de mappen

controleer even de rechten ,,

gewone bestanden 644 en mappen 777 of als je hosting het toelaat en je ondervind geen problemen

dan kan je 755 of 775 proberen

Edited December 13, 2012 by maconl (see edit history)

[scorpionsworld]

Wat Maconl zegt.

Wat tevens kan helpen is een lege index.html toevoegen aan iedere modulemap/submap.

Overigens zijn op de meeste webservers de weergave van de mapinhoud, waarin geen index.html/php staat, uitgeschakeld

[maconl]

als het goed is staat er in de meeste mappen al een index.php

als je echter deze ook 777 rechten geeft tja dan is alles zichtbaar

[Jefff]

hoi ,

dan heb je waarschijnlijk alle bestanden de 777 rechten gegeven ipv alleen de mappen

controleer even de rechten ,,

gewone bestanden 644 en mappen 777 of als je hosting het toelaat en je ondervind geen problemen

dan kan je 755 of 775 proberen

 

Heb het gecheckt, maar alle mappen hebben 755 en alle files 644. Maar dat verbaast me op zich ook niet, want zowel 7xx/6xx betekent toch readable voor all? Deze rechten zijn ook allen bij mij out-of-the-box van de installatie, heb hier zelf niks aan gewijzigd.

 

 

Overigens zijn op de meeste webservers de weergave van de mapinhoud, waarin geen index.html/php staat, uitgeschakeld

 

Ondanks dat kan iedereen die bv ziet dat je Icepay gebruikt 'raden' dat de logs staan in http://domein.nl/modules/icepay/log/%23yyyyddmm.log en ook als die 644 zijn, zijn ze gewoon via je browser op te roepen.

 

Dat zou toch nooit moeten kunnen?

 

Ik zal even zoeken of er een voorbeeld te vinden is van een .htaccess voor de /modules map, die dit tegen houdt.

Staat het bij jullie dan niet ook allemaal open?

[scorpionsworld]

Heb het gecheckt, maar alle mappen hebben 755 en alle files 644. Maar dat verbaast me op zich ook niet, want zowel 7xx/6xx betekent toch readable voor all? Deze rechten zijn ook allen bij mij out-of-the-box van de installatie, heb hier zelf niks aan gewijzigd.

 

 

 

Ondanks dat kan iedereen die bv ziet dat je Icepay gebruikt 'raden' dat de logs staan in http://domein.nl/mod...%23yyyyddmm.log en ook als die 644 zijn, zijn ze gewoon via je browser op te roepen.

 

Dat zou toch nooit moeten kunnen?

 

Ik zal even zoeken of er een voorbeeld te vinden is van een .htaccess voor de /modules map, die dit tegen houdt.

Staat het bij jullie dan niet ook allemaal open?

Jawel, maar gebruik geen icepay of logging naar een module submap