[Undoredoo]

Måste reda ut en grej som jag tänkte på härom dagen när jag tog mina första utforskande steg i Joomla.

I begynnelsen la jag alltid config-filen med MySQL-lösenord etc i rooten, då jag ansåg att det var tillräckligt säkert. Men sen fick jag höra att man bör lägga den ett steg under root-katalogen, vilket jag senare gjorde i mitt CMS. Joomla däremot kör ju sin config i rooten, vilket ju i så fall kan tyckas vara mindre säkert, givet att Joomla är så vedertaget och utbrett.

Att lägga den under rooten har inneburit diverse mindre problem (beroende på webbserverns konfiguration etc), så jag skulle gärna byta tillbaka. Kan jag göra det med gott samvete eller är det lika bra att låta den ligga där den ligger?

[Lumax]

Den risk du löper är om PHP-parsern skulle sluta fungera. T.ex. om du/webbhotellet uppgraderar PHP-paketet och nåt går snett. Då kan besökare komma åt din config i klartext.
Risken får väl anses som liten, men har man möjlighet att koda så att lösenord m.m. ligger utanför webroot så är det att föredra ur säkerhetsperspektiv.

[Dennis Holm]

jag ska inte mata dig med sked som det heter på engelska..

men gör en include för /home/username/filen.php
där i sätter du variablar för lösenord och login för tex mysql.
sedan så använder du variablar i config.php filen.

det gör ju så att om scenariot som lumax nämner händer (och det kan hända ibland vid updateringar, serverattacker m,m)
då är lösenordet till mysql skyddat iallafall.

*edit*
sen kan du ju göra det ändå enklare.

/home/username/www/config.php innehåller en include rad endast.
och sen har du den riktiga configfilen i din /home/username/ katalog.

borde fungera för dig.

[Undoredoo]

Bra tankar, men i praktiken innebär det ingen skillnad, eftersom en av filerna fortfarande måste ligga utanför rooten, dvs precis som nu.

Men om det är så att den enda risken uppstår om parsern lägger av, så känns det ju som Lumax antyder hyfsat riskfritt ändå. Men jag levde i tron att det kanske fanns mer sofistikerade sätt att nå filer som ligger i rooten. Dock känns det ganska osannolikt att någon skulle genomföra en attack av den kalibern mot de kunder jag jobbar med.

Tack, jag får se hur jag gör.

[emilv]

Jag skulle tro att de färdiga webbsystemen lägger filerna inuti dokumentroten för att de ska vara så portabla som möjligt. På så sätt fungerar de med både open_basedir och de gånger då användaren bara har skrivrättigheter till sin dokumentrot.

Nu har ju inte Joomla ett särskilt bra trackrecord när det gäller säkerhet heller, men det har rätt lite med just det här att göra.

[BjörnJ]

Det går även att hindra access till filen i .htaccess för att få lite extra säkerhet.

Man skulle t.ex. kunna lägga config.php och andra include-filer i www/includes/ eller liknande hindra webbaccess till hela katalogen.