はじめまして。minoと申します。
管理者様。
とてもよいシステムで利用したいと思ってます。
セキュリティに関して質問なんですが、
すべてのファイル(設定ファイル等)が公開用ディレクトリにあることに、少々不安を感じます。
config/users.config.xml などは、パーミッションが606で外部から簡単に見えてしまいます。
config/*.config.xml と /include 以下のスクリプト類は、公開用ディレクトリ(public_html)外に
保存するような配置にしたほうがよいのではないかと思ったりします。
ユーザデータのセキュリティについて
Re: ユーザデータのセキュリティについて
webmasterです。minoさん、ご質問ありがとうございます。
configフォルダ以下のセキュリティを高めるには、.htaccessを使って次のように
することで、ブラウザからデータを表示できないようにすることができます。
メモ帳を使って、configフォルダ直下に次のファイルを作る。
(1) ファイル名は「.htaccess」
(2) 内容は「deny from all」とだけ記述
これをサーバにアップロードして下さい。「.htaccess」というファイル名がどうしても
つけられない場合は、一度「test.htaccess」のような作ってからFTPでアップロード後、
FTPソフトを使ってサーバ上でファイル名変更すればOKです。
しかし、minoさんのおっしゃる通り、このフォルダが公開用になっているのは
セキュリティ的にあまりよろしいものではないですよね・・・。
パスワードは暗号化されているので大きな問題はありませんが、ユーザー名
やコンテンツ設定などが見れてしまうのは気持ち悪い人がほとんどだと思います。
この対策を標準として、今後の配布ファイルに含めさせて頂きます。
ご意見ありがとうございました。m(_ _)m
この方法でうまくいかない場合、またご連絡頂ければと思います。
configフォルダ以下のセキュリティを高めるには、.htaccessを使って次のように
することで、ブラウザからデータを表示できないようにすることができます。
メモ帳を使って、configフォルダ直下に次のファイルを作る。
(1) ファイル名は「.htaccess」
(2) 内容は「deny from all」とだけ記述
これをサーバにアップロードして下さい。「.htaccess」というファイル名がどうしても
つけられない場合は、一度「test.htaccess」のような作ってからFTPでアップロード後、
FTPソフトを使ってサーバ上でファイル名変更すればOKです。
しかし、minoさんのおっしゃる通り、このフォルダが公開用になっているのは
セキュリティ的にあまりよろしいものではないですよね・・・。
パスワードは暗号化されているので大きな問題はありませんが、ユーザー名
やコンテンツ設定などが見れてしまうのは気持ち悪い人がほとんどだと思います。
この対策を標準として、今後の配布ファイルに含めさせて頂きます。
ご意見ありがとうございました。m(_ _)m
この方法でうまくいかない場合、またご連絡頂ければと思います。
Re: ユーザデータのセキュリティについて
webmasterです。追記です。
.htaccessファイルのそのまま使えるサンプルを用意しましたので、必要な方は
こちらからダウンロードして下さい。
http://cms.al-design.jp/downloads/misc/htaccess.zip
ファイルをダウンロード後、解凍して出てくる".htaccess"ファイルを、configフォルダ
直下にアップロードして下さい。
.htaccessファイルのそのまま使えるサンプルを用意しましたので、必要な方は
こちらからダウンロードして下さい。
http://cms.al-design.jp/downloads/misc/htaccess.zip
ファイルをダウンロード後、解凍して出てくる".htaccess"ファイルを、configフォルダ
直下にアップロードして下さい。