Shop templates are not protected from direct access #198
Comments
|
Ich verstehe deine Überlegungen. Wie gesagt, das ist nur eine "Neigung" meinerseits. Ich lasse mich gerne überstimmen. |
Die hat halt zwei Nachteile:
Mit einer System-Prüfung kann beides deutlich entschärft werden, aber etwas wie XH_isAccessProtected ist leider nicht unproblematisch.
Die sauberste Lösung wäre wohl |
|
Ich vertraue darauf, dass du das besser einschätzen kannst. |
|
Wie denken andere darüber? |
wären es nur diese Änderungen oder käme noch mehr hinzu?
solange die Dateien im template-Ordner bleiben wäre das wohl immer noch übersichtlich oder?
ich auch |
Zumindest bezüglich dieses Problems wären das die einzigen Änderungen. Irgendwann später mal würde ich die Templates umarbeiten wollen, aber das hat Zeit.
Gegen |
|
i a net |
All shop templates (in
templates/as well astheme/) can be directly accessed via HTTP(S). Since the templates contain PHP code, this is actually a information leakage vulnerability.The clean solution would be to rename the file extension from
.tplto.php, and to add a leading line preventing direct access. This would, however, constitute a minor BC break (custom templates intheme/would have to be adapted accordingly). So an alternative work-around could be to ship respective.htaccessfiles, and to explicitly document that the folders have to be protected by other means, if the server does not support respective.htaccessfiles. Adding a respective system check would also appropriate in this case.I would prefer renaming the file extensions, though, and to prominently document the resulting BC break, and how to handle it.
The text was updated successfully, but these errors were encountered: