Папка files и безопасность Drupal ?

Главные вкладки

Аватар пользователя Byteman Byteman 18 сентября 2006 в 18:51

Я только инсталировал Друпал. Директории files приходится давать все права, то есть 777 -
иначе Друпал выдаёт ошибки. И этого я не понимаю. Получается, что любой вредитель
может загрузить в эту директорию вредоносный скрипт и запустить его?!!!
Или я чего-то не понимаю по простоте душевной?
Хотелось бы услышать внятные объяснения от кого-нибудь!

Так как каждый, кто интересуется знает, что в Друпале есть такая папка с названием file,
то я думал хотя бы последовать указанию в файле install.txt:

You should consider creating a "files" subdirectory in your Drupal
installation directory. This subdirectory stores files such as
custom logos, user avatars, and other media associated with your
new site. The sub-directory requires "read and write" permission
by the Drupal server process. You can change the name of this
subdirectory at "Administer > Settings > File system settings".

и хотя бы изменить стандартное название папки files
на более экзотичное, но в установках Друпала "File system path" прочел следующее предупреждение:

A file system path where the files will be stored. This directory has to exist and be writable by Drupal. If the download method is set to public this directory has to be relative to Drupal installation directory, and be accessible over the web. When download method is set to private this directory should not be accessible over the web. Changing this location after the site has been in use will cause problems so only change this setting on an existing site if you know what you are doing.

То есть, что изменение названия директории files чревато осложнениями.

Мог бы кто-нибудь пролить свет на такие непонятные для меня обстоятельства
и дать дельные конкретные советы?

Заранее благодарю!

ВложениеРазмер
Иконка изображения Upload_Ext.gif13.52 КБ

Комментарии

Аватар пользователя Natalie Natalie 18 сентября 2006 в 19:04

А вы разве разрешаете пользователям загружать скрипты? В настройках надо прописать допустимые расширения файлов.
---
---
All content management systems suck, Drupal just happens to suck less. -- Boris Mann at DrupalCON Amsterdam, August 2005.

Аватар пользователя Byteman Byteman 18 сентября 2006 в 19:29

Спасибо. А где именно я могу найти эти настройки,
где могу указать допустимые к загрузке расширения файлов?
В Админке Друпала я этого не нашёл.

Аватар пользователя Natalie Natalie 18 сентября 2006 в 19:36

Включить модуль закачки (upload), потом настройте для каждой роли в admin/settings/upload.
---
---
All content management systems suck, Drupal just happens to suck less. -- Boris Mann at DrupalCON Amsterdam, August 2005.

Аватар пользователя Byteman Byteman 18 сентября 2006 в 19:55

Загрузил модуль upload.
Но не нахожу возможности указать допустимые расширения файлов.
Ни в admin/settings/upload
ни в administer/access control/permitions
там, где роли настраивают - не вижу там такой возможности
по расширениям файлов установки делать.

Аватар пользователя Natalie Natalie 18 сентября 2006 в 20:05

Нужно еще разрешить отдельным ролям закачивать файлы.
---
---
All content management systems suck, Drupal just happens to suck less. -- Boris Mann at DrupalCON Amsterdam, August 2005.

Аватар пользователя Byteman Byteman 18 сентября 2006 в 20:29

Я это тоже сделал: создал роль администратора и дал права этой роли
на
upload files
view uploaded files
Тем не менее и после этого не нахожу возможности управлять отгрузкой по расширениям фалов: только вижу возможность ограничения размеров
в пикселях.

Аватар пользователя Natalie Natalie 18 сентября 2006 в 20:46

Под настройками пикселей должна быть раскрывающаяся область для каждой роли. Ищите внимательнее.
---
---
All content management systems suck, Drupal just happens to suck less. -- Boris Mann at DrupalCON Amsterdam, August 2005.

Аватар пользователя Natalie Natalie 18 сентября 2006 в 21:15

Да вот же оно, прямо под настройками изображений, Settings for Administrator. Надо просто его раскрыть.
---
---
All content management systems suck, Drupal just happens to suck less. -- Boris Mann at DrupalCON Amsterdam, August 2005.

Аватар пользователя Natalie Natalie 19 сентября 2006 в 3:14

Ну надо сказать, что эти AJAXовские фиговины и правда не очень заметны Smile
---
---
All content management systems suck, Drupal just happens to suck less. -- Boris Mann at DrupalCON Amsterdam, August 2005.

Аватар пользователя kiev1 kiev1 21 сентября 2006 в 0:31

просто запретить в этой директории доступ к файлам *.php средствами .htaccess и все

       <FilesMatch "\.(php|php3|php4)$">
       Order deny,allow
       deny from all
       </FilesMatch>
Аватар пользователя B.X B.X 20 сентября 2006 в 14:17

[b]"Ну надо сказать, что эти AJAXовские фиговины и правда не очень заметны"[/b]
странно, но в Мозилле они у меня не работают вообще, ни одно это раскрывающееся меню, показывает просто текстом, без ссылки (Firefox самый последний)... а вот в Опере всё нормально. Наверное в css что-то намудрил...