После установки Код: Внимание! Это важно. Для большей безопасности вы должны переместить директорию хранилища storage за пределы корневой директории сайта (например в public_html, www или htdocs). Выберите как вы хотите перенести директорию storage По какому признаку оно определяет что нужно переместить на уровень выше WWW ? И зачем? p.s OC 3.0.2.0
Для безопасности И это правильно! папки upload, download вынесена за пределы рута - это позволит уменьшить риск атаки Например, даже при error.php - такой скрипт выполнить нельзя. common/dasboard if (DIR_STORAGE == DIR_SYSTEM . 'storage/') {
У меня nginx настроен на /index.php . Пробовал выполнить example.com/.../index.php и т.п. не выполняется. Я просто не пойму для чего папка storage - это исполняемые скрипты! - для чего они там? Проблема в том что у меня 4 сайта и если выводить выше домена, то будит бардак (делать для них под папки....) p.s. для виртуальных хостингов тоже нужно выносить эту дирректорию?
ну так вы можете для каждого домена создавать свою папку Это нормальная, практика безопасности, когда клиенту отдается только часть, например, только шаблон. Т.е. пользователь имеет ограинченный доступ как по фтп, так и через админку Залил шаблон, контроллер и модель не трожь!!!!
У меня так и сделано Код: /home/user/www/example1.com/ /home/user/www/example2.com/ /home/user/www/example3.com/ Мне кажется глупо делать Код: /home/user/www/example1.com/..... /home/user/www/special-example1.com/storage (и так для каждого домена!) или Код: /home/user/www/storage/example1.com/storage /home/user/www/storage/example2.com/storage /home/user/www/storage/example3.com/storage Оно естественно ругаться перестанет, но это ничего не меняет - запись кэша туда есть доступ тот-же. Чем-то нездоровым попахивает.
Это вам так кажется, вы так к этому привыкли Нормальная практика безопасного вебстроительства - предоставление пользователю ограниченное пространство - только шаблон. И кстати твиг - это часть безопасности движка. Полное отсутствие исполняемых файлов.
По совету товарищей )) Решил такой структурой Код: /home/user/www/example2.com/public_html/тут_сайт /home/user/www/example2.com/storage
Объясните, пожалуйста Чайнику как перенести storage ? и куда ее перенести... и, пожалуйста, простым чайниковым языком...
Перенести нужно на уровень выше той папки, в которой находится сам сайт. Т.е. если вы загрузили сайт в папку public_html/ваш-домен.сом , то папка storage должна быть "параллельно" вашему домену. Вот так public_html/storage - это типа так решили "избавится" от дыр и вынести исполняемые серверные скрипты за пределы папки домена в которой могут быть уязвимости в файлах. Правда все это ничего не решает, ну да ладно - их скрипт и они хозяева... Но если у вас свой сервер и вы владелец ВСЕГО. То вы можете ее перекидывать куда угодно - только в конфиге об этом указать надо. И соответственно про права почитать.... p.s вот это вот "Автоматически переместить" и есть самая коварная вещь от которой нужно избавляться.
Да? Вы уверены? Т.е. то что ядро переносят за пределы document_root - Это такие забубончики? По сути - все должно быть вынесено за пределы, кроме шаблона и языковых фалов, и те (языки), я бы тоже вынес - они частично исполняемые)
100% Да хоть в корень системы переноси - GPL v3 ваше право. Я говорю о том: зачем давать скрипту права переносить что либо выше на уровень? Это нужно делать во время установки - это не проблема (спрятать все эти скрипты подальше...)! А на деле выходит так. - у вас vps (у всех он уже есть...) - установили по инструкции - работает ура. - зашли в админку получили предупреждение. - хм...ну перенести так перенести. Нажали на кнопочку - ошибка. Благо настроили изначально все ок! - а вот оно чего. sudo chmod 755 ./public/domain - эх не работает. А так sudo chmod -R 777 ./public/ ВУАЛЯ )) То-есть - это ловушка для невнимательных. Можно вернуть права назад, но кто это делает. Зайдите на хак форум и почитайте поверхностно по кучу модулей ftp для опенкарта. Я не говорю что переносить подальше не нужно. OpenCart - он был понятен и этим привлекал внимание. Тот путь который они избрали - банальная стратегическая ошибка. p.s. я думаю в дальнейшем будет предупреждение в скрипте инсталяции или ридми файле о том что нужно делать перенос. А сейчас фичу запилили, а инструкция установки от 1,5
Кто там что запилили, откуда, и что от 1.5? Ух, как !!! Все !!! откликнитесь.. О чем речь? Какие хаки? фтп в тройке - нет
Вот инструкция для "Третьей" версии (уверен вы ее видели) У каждого своя установка. И хорошо если человек понимает что ему нужно. Если нет VPS и т.п. о чем мы вообще говорим... Хостеры имеют свои правила на безопасность. И единственные права которые вы имеете - это гордо поднятый нос и переезд к другому провайдеру. Скрипты .sh исполнять дают не всем. ftp нет ) слава аллаху. Я про модули которые будут портированы скоро. После тех манипуляций(которые выше описал) с переездом storage будут проблемы. Проще с самого начала - сформировать скрипт установки за пределом как и положено. А уже далее выходить из своих предпочтений и пожеланий. Я чуть чуть обсуждал это. Знаю одно это только отпугивает сообщество.
С чего буду проблемы Будут портироваться, уже портируются, Какие еще проблемы? Storage - техническая папка - какие еще проблемы? Откуда? Я тащусь, интрукцию по установке вы прочитали, а посмотреть что нет фтп - не удосужились, а толко фозмутились - КАК, зачем переносить? будут проблемы.. Конечно будут, их не может не быть, но НИКАК не связанные с переносом папки А проблемы будут у разработчиков, когда нужно быстро посмотреть/поправить код, а потом внести изменения, вот тогда начнется- туда-сюда), а доступ ftp только к корню. Вообще-то цель переноса совсем другая, это уход в облака, и это только маленькое начало. Если уж обеспокоены безопасностью, то нужно разрешить исполнение только из корневой папки и админ, а всем остальным запрещать
Вот вы и сказали суть всего этого - это уход в облака Зачем она в папке upload/system/ Я выше написал, перефразирую. При переносе всегда возникает еще один порог совершить ошибку. Что и будит происходить - время покажет посмотрим.