17. 11. 2015, 13:20

Hallo zusammen,

ich habe mehrere TYPO3-Websites geprüft und habe festgestellt, dass einige Extension-Files oder TypoScript-Files aus dem fileadmin-Verzeichnis aufrufbar sind.

Mein Problem: Ich entwickle eine große Website mit ca. 40 Extbase-Extensions. Leider sind die Dateien wie ext_tables.sql oder Configuration/TypoScript/setup.txt gar nicht geschützt, und jeder, der sich mit TYPO3 auskennt, weiß, wo sie liegen und kann sie aufrufen. Ich finde es überhaupt nicht gut. Das ist auf jeden Fall Futter für einen Hacker. Was kann man unternehmen? Wenn ich im .htaccess alle Dateien im Verzeichnis typo3conf/ext schütze, muss ich noch berücksichtigen, dass ext_icon.gif und alle Dateien aus dem Resources/Public-Ordner aufrufbar sein müssen. Und vielleicht gibt es bei einer oder anderer Extensions andere Dateien/Ordner, die aufrufbar sein müssen. Ich sehe im Moment keine allgemeine Lösung. Wenn ich auf Anhieb eine TYPO3-Website nehme, ist sie von dem Problem auch betroffen.

Probiert mal bei euren Websites sowas wie:

http://www.domain.ltd/typo3conf/ext/meiextension/Configuration/TypoScript/setup.txt oder
http://www.domain.ltd/typo3conf/ext/meiextension/ext_tables.sql