phpbar.de logo

Mailinglisten-Archive

[php] sinnvolle, saubere smarty-dateistruktur

[php] sinnvolle, saubere smarty-dateistruktur

Sebastian Mendel lists at sebastianmendel.de
Mon Okt 4 16:12:23 CEST 2004


Peter Bieling schrieb:

>>> das wirst Du so nicht überall realisieren können und wollen:
>>> Nicht auf jedem Server, mit dem man es zu tun bekommt, kann man 
>>> schalten und walten wie man will. Selbst wenn man oberhalb des 
>>> Document-Root zu sein glaubt, ist der Bereich häufig noch über eine 
>>> Provider-URL (meinprovider/web567/dochnichtgeschuetzt/) erreichbar.
>>
>> häufig? glaube ich weniger, sollte eher die Ausnahme sein ...  und 
>> selbst wenn, ändert das doch nichts an meiner Ausage und meinen 
>> Gründen das so zu machen ... oder?
> 
> Du persönlich kannst natürlich machen, was Du willst. ;-) Da hier aber 
> auch andere mitlesen (auch Anfänger), wollte ich einfach mal darauf 
> aufmerksam machen, dass [... das selbe wie oben nur mit merh sätzen ...]

Hab ich ja verstanden, kann ja lesen. Deine Ausage ändert halt nur 
nichts an den von mir genannten Gründen.


>>> Wenn man dem HTMLer, mit dem man zusammenarbeitet, die Möglichkeit 
>>> geben will, die Templates zu ändern, ist vielleicht auch ein normales 
>>> Templateverzeichnis vorzuziehen.
>>
>> Wieso? bearbeitet der die Templates über den Webserver?
> 
> Das wäre bei einem Kunden z.B. nicht ausgeschlossen, wenn man dem ein 
> entsprechendes Tool bereit stellt. Bei einem Kollegen möchte man 
> vielleicht, dass der nur in einem bestimmten Bereich tätig ist. Also 
> nicht unbedingt, oberhalb des Dokument-Roots oder in Verzeichnissen, die 
> ihn nichts angehen. So etwas lässt sich natürlich konfigurieren. Bei 
> meinen Projekten war das bisher nicht nötig. Bei dem, was ich bisher 
> gesehen habe, habe ich übrigens nie erlebt, dass die Templates oberhalb 
> des Dokumentroots lagen.

ja gut das Tool kann ja dann auf die Dateien außerhalb der DR zugreifen, 
deshalb müssen die Templates also auch nicht innerhalb der DR liegen. 
Weil vielleicht das Tool über HTTP läuft, aber ich meinte das der 
Designer an sich, nicht direkt über HTTP auf die Templates zugreift.


>>> Wenn man den Dateien z.B. die Endung .tpl verpasst, kann man ja über 
>>> .htaccess den Zugriff sperren. Oder man sperrt die 
>>> Templateverzeichnisse mit "deny from all".
>>
>> ja aber das ist wieder ein Konfigurationsmehraufwand, und so mit ein 
>> höheres Sicherheitsrisiko - wie bei allem wo der Faktor 'Mensch' 
>> hinzukommt.
> 
> Ich weiß nicht, welche sicherheitsrelevanten Daten Du in Templates 
> aufhebst. - Bei mir steht da hauptsächlich HTML drin, das später auch im 
> Browser erscheint und im Quelltext nachzulesen ist. Vielleicht noch ein 
> paar Kommentare. Wer das sehen will, dem zeige ich das auch gern 
> freiwillig. ;-)

Wenn man die Quellen kennt ist es wesentlich einfacher 
Sicherheitsrelevante Fehler zu finden und diese auszunutzen, abgesehen 
von einer sauberen Programmierung bin ich deshalb auch bedacht einen 
potentiellen Angreifer auch an so wenig Informationen über mein System 
gelangen zu lassen wie möglich.


Alarmanlagen- oder Safe-Hersteller posaunen ihre Bauweise ja auch nicht 
raus, aus guten Gründen. Acuh wenn sie sie für sicher halten. In einem 
Bekannten System lassen sich nunmal eher Sciherheitslücken finden als in 
einem unbekannten.

So doer so, wollte ich nur sagen wenn Dateien unterhalb der Docuemntroot 
liegen obwohl dies nicht nötig ist erhöht das nur das Sicherheitsrisiko 
und den Aufwand z. B. den Zugriff zu beschränken.

Natürlich kann man das nicht machen wenn man keinen Zugriff auf 
Verzeichnisse außerhalb der DocumentRoot hat, logisch!

-- 
Sebastian Mendel

www.sebastianmendel.de www.warzonez.de www.tekkno4u.de www.nofetish.com
www.sf.net/projects/phpdatetime        www.sf.net/projects/phptimesheet

php::bar PHP Wiki   -   Listenarchive