Как убрать предупреждение переноса storage

Тема в разделе "Установка и обновление", создана пользователем Boc-Cart, 12 сен 2017.

  1. Boc-Cart

    Boc-Cart Новичок

    Сообщения:
    10
    Симпатии:
    0
    После установки
    Код:
    Внимание! Это важно. Для большей безопасности вы должны
    переместить директорию хранилища storage за пределы корневой директории сайта
    (например в public_html, www или htdocs).
    Выберите как вы хотите перенести директорию storage
    По какому признаку оно определяет что нужно переместить
    на уровень выше WWW ? И зачем?

    p.s OC 3.0.2.0
     
  2. Chukcha

    Chukcha Специалист

    Сообщения:
    3.013
    Симпатии:
    685
    Для безопасности И это правильно!

    папки upload, download вынесена за пределы рута - это позволит уменьшить риск атаки
    Например, даже при error.php - такой скрипт выполнить нельзя.

    common/dasboard
    if (DIR_STORAGE == DIR_SYSTEM . 'storage/') {
     
  3. Boc-Cart

    Boc-Cart Новичок

    Сообщения:
    10
    Симпатии:
    0
    У меня nginx настроен на /index.php .
    Пробовал выполнить example.com/.../index.php и т.п. не выполняется.

    Я просто не пойму для чего папка storage - это исполняемые скрипты! - для чего они там?

    Проблема в том что у меня 4 сайта и если выводить выше домена, то будит бардак (делать для них под папки....)

    p.s. для виртуальных хостингов тоже нужно выносить эту дирректорию?
     
  4. Chukcha

    Chukcha Специалист

    Сообщения:
    3.013
    Симпатии:
    685
    ну так вы можете для каждого домена создавать свою папку

    Это нормальная, практика безопасности, когда клиенту отдается только часть, например, только шаблон.
    Т.е. пользователь имеет ограинченный доступ как по фтп, так и через админку

    Залил шаблон, контроллер и модель не трожь!!!!
     
  5. Boc-Cart

    Boc-Cart Новичок

    Сообщения:
    10
    Симпатии:
    0
    У меня так и сделано
    Код:
    /home/user/www/example1.com/
    /home/user/www/example2.com/
    /home/user/www/example3.com/
    Мне кажется глупо делать
    Код:
    /home/user/www/example1.com/.....
    /home/user/www/special-example1.com/storage (и так для каждого домена!) 
    или
    Код:
    /home/user/www/storage/example1.com/storage
    /home/user/www/storage/example2.com/storage
    /home/user/www/storage/example3.com/storage
    Оно естественно ругаться перестанет, но это ничего не меняет - запись кэша туда есть доступ тот-же.

    Чем-то нездоровым попахивает.
     
  6. Chukcha

    Chukcha Специалист

    Сообщения:
    3.013
    Симпатии:
    685
    Это вам так кажется, вы так к этому привыкли
    Нормальная практика безопасного вебстроительства - предоставление пользователю ограниченное пространство - только шаблон.
    И кстати твиг - это часть безопасности движка. Полное отсутствие исполняемых файлов.
     
  7. Boc-Cart

    Boc-Cart Новичок

    Сообщения:
    10
    Симпатии:
    0
    По совету товарищей )) Решил такой структурой
    Код:
    /home/user/www/example2.com/public_html/тут_сайт
    /home/user/www/example2.com/storage
     
  8. Мой магазин

    Мой магазин Новичок

    Сообщения:
    9
    Симпатии:
    0
    Объясните, пожалуйста Чайнику как перенести storage ? и куда ее перенести... и, пожалуйста, простым чайниковым языком... ;)
     
  9. Ravilr

    Ravilr Специалист

    Сообщения:
    3.863
    Симпатии:
    1.059
    А просто выбрать Автоматически нажать кнопку Переместить ?
     
  10. Boc-Cart

    Boc-Cart Новичок

    Сообщения:
    10
    Симпатии:
    0
    Перенести нужно на уровень выше той папки, в которой находится сам сайт.
    Т.е. если вы загрузили сайт в папку public_html/ваш-домен.сом , то папка storage должна быть "параллельно" вашему домену.
    Вот так public_html/storage - это типа так решили "избавится" от дыр и вынести исполняемые серверные скрипты за пределы папки домена в которой могут быть уязвимости в файлах.
    Правда все это ничего не решает, ну да ладно - их скрипт и они хозяева...

    Но если у вас свой сервер и вы владелец ВСЕГО. То вы можете ее перекидывать куда угодно - только в конфиге об этом указать надо. И соответственно про права почитать....

    p.s вот это вот "Автоматически переместить" и есть самая коварная вещь от которой нужно избавляться.
     
  11. Chukcha

    Chukcha Специалист

    Сообщения:
    3.013
    Симпатии:
    685
    Да? Вы уверены?
    Т.е. то что ядро переносят за пределы document_root - Это такие забубончики?

    По сути - все должно быть вынесено за пределы, кроме шаблона и языковых фалов, и те (языки), я бы тоже вынес - они частично исполняемые)
     
  12. Boc-Cart

    Boc-Cart Новичок

    Сообщения:
    10
    Симпатии:
    0
    100%
    Да хоть в корень системы переноси - GPL v3 ваше право.
    Я говорю о том: зачем давать скрипту права переносить что либо выше на уровень?
    Это нужно делать во время установки - это не проблема (спрятать все эти скрипты подальше...)!

    А на деле выходит так.
    - у вас vps (у всех он уже есть...)
    - установили по инструкции - работает ура.
    - зашли в админку получили предупреждение.
    - хм...ну перенести так перенести. Нажали на кнопочку - ошибка. Благо настроили изначально все ок!
    - а вот оно чего. sudo chmod 755 ./public/domain - эх не работает. А так sudo chmod -R 777 ./public/ ВУАЛЯ ))
    То-есть - это ловушка для невнимательных. Можно вернуть права назад, но кто это делает.
    Зайдите на хак форум и почитайте поверхностно по кучу модулей ftp для опенкарта.

    Я не говорю что переносить подальше не нужно.
    OpenCart - он был понятен и этим привлекал внимание.
    Тот путь который они избрали - банальная стратегическая ошибка.
    p.s. я думаю в дальнейшем будет предупреждение в скрипте инсталяции или ридми файле о том что нужно делать перенос.
    А сейчас фичу запилили, а инструкция установки от 1,5
     
  13. Chukcha

    Chukcha Специалист

    Сообщения:
    3.013
    Симпатии:
    685
    Кто там что запилили, откуда, и что от 1.5?

    Ух, как !!! Все !!! откликнитесь..
    О чем речь?
    Какие хаки?
    фтп в тройке - нет
     
  14. Boc-Cart

    Boc-Cart Новичок

    Сообщения:
    10
    Симпатии:
    0
    Вот инструкция для "Третьей" версии (уверен вы ее видели)
    У каждого своя установка. И хорошо если человек понимает что ему нужно.

    Если нет VPS и т.п. о чем мы вообще говорим...
    Хостеры имеют свои правила на безопасность. И единственные права которые вы имеете - это гордо поднятый нос и переезд к другому провайдеру. Скрипты .sh исполнять дают не всем.

    ftp нет ) слава аллаху. Я про модули которые будут портированы скоро. После тех манипуляций(которые выше описал) с переездом storage будут проблемы.

    Проще с самого начала - сформировать скрипт установки за пределом как и положено. А уже далее выходить из своих предпочтений и пожеланий.

    Я чуть чуть обсуждал это. Знаю одно это только отпугивает сообщество.
     
  15. Chukcha

    Chukcha Специалист

    Сообщения:
    3.013
    Симпатии:
    685
    С чего буду проблемы
    Будут портироваться, уже портируются,
    Какие еще проблемы? Storage - техническая папка - какие еще проблемы? Откуда?

    Я тащусь, интрукцию по установке вы прочитали, а посмотреть что нет фтп - не удосужились, а толко фозмутились - КАК, зачем переносить? будут проблемы..
    Конечно будут, их не может не быть, но НИКАК не связанные с переносом папки

    А проблемы будут у разработчиков, когда нужно быстро посмотреть/поправить код, а потом внести изменения, вот тогда начнется- туда-сюда), а доступ ftp только к корню.

    Вообще-то цель переноса совсем другая, это уход в облака, и это только маленькое начало.

    Если уж обеспокоены безопасностью, то нужно разрешить исполнение только из корневой папки и админ, а всем остальным запрещать
     
  16. Boc-Cart

    Boc-Cart Новичок

    Сообщения:
    10
    Симпатии:
    0
    Вот вы и сказали суть всего этого - это уход в облака
    Зачем она в папке upload/system/
    Я выше написал, перефразирую.
    При переносе всегда возникает еще один порог совершить ошибку.
    Что и будит происходить - время покажет посмотрим.