TYPO3 - Mittwald - Composer

Wie sich bei Mittwald der (standardmäßig mögliche) öffentliche Zugriff auf das Root Verzeichnis einer im Composer Modus betriebenen TYPO3 Instanz unterbinden lässt.

Samstag, 09.01.2021

Bei Mittwald müssen Webapplikationen stets im Verzeichnis "/html" abelegt werden. Ungünstigerweise existiert bei Mittwald in jedem Paket nun auch standarmäßig eine Subdomain in der Form "p12345.webspaceconfig.de", welche immer auf dieses Verzeichnis gelinkt ist und weder deaktiviert noch auf ein anderes Ziel gemapped werden kann. Daher sind prinzipiell sämtliche Dateien unter "/html" über diese Subdomain öffentlich zugänglich. Spätestens beim Betrieb einer TYPO3 Instanz im Composer Mode beinhaltet das Projektverzeichnis häufig jedoch auch Inhalte, die definitiv nicht zugänglich sein sollen (auch nicht in der Theorie im Sinne von "den genauen Pfad kennt ja keiner"). Diese Inhalte sind dann z.B. wie folgt erreichbar:

Der Zugriff auf diese Verzeichnisse lässt sich jedoch mit entsprechenden "mod_rewrite" Direktiven unterbinden. Seit Apache 2.4.8 ist es möglich, Direktiven in einem höher gelegenden Verzeichnis explizit als "vererbbar" (RewriteOptions InheritDownBefore) zu definieren, so dass diese auf Unterverzeichnisse angewandt werden ("parent to child"). In früheren Versionen musste die Vererbung von den Unterverzeichnissen aus initiiert werden ("child to parent").

Durch nachfolgende Direktiven lässt sich der mögliche Zugriff unterbinden. Diese Direktiven greifen auch dann, wenn in Unterverzeichnissen bereits Direktiven definiert sind (z.B. in "/html/project.dir/public/.htaccess").

/html/.htaccess

<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteOptions InheritDownBefore
  RewriteCond %{REQUEST_URI} ((?:^|/)(?:project\.dir[/]?)(.*)$) [NC]
  RewriteRule (.*)$ - [F]
</IfModule>



Kommentare