Sicherheitsrisiko ?- Schreibrechte Ordner "Modules"

[gelöschter user]

Hallo zusammen

 

Ich habe mir ein Bezahlmodul "Postfinance" zugelegt.

 

Im emailverkehr mit dem Entwickler riet mir dieser , das Modul per FTP hochzuladen und keinesfalls gezippt via Backoffice.

 

Den Ordner mit den Schreibrechten so einzustellen, dass Upload von gezippten Modulen über Prestashop nicht möglich sei, da dies ein erhebliches Sicherheitsrisiko darstelle.

 

Da ich meinen Shop natürlich möglichst sicher gestalten möchte, werde ich zukünftig die Module entzippt via FTP hochladen.

 

Nur weiss ich nun nicht genau, welche Schreib/Leserechte ich dem Ordner geben soll, damit das Zahlungsmodul einwandfrei ist, aber möglichst sicher ( Ordner nicht beschreibbar durch aussenstehende).

 

Meine bisherige Einstellung : 755

 

Ich kenn mich leider nicht so genau aus.

 

Punkto CHMOD einstellungen für Ordner findet man für Prestashop teilweise verschiedene Angaben.

 

Welche Rechte (bitte Zahl angeben) würdet Ihr also für den Ordner "Modules" vergeben.

 

Und gibt es noch andere Orte wo ich besonders drauf achten muss und evt. ändern sollte ?

 

Danke und Gruss

 

Stefan

Edited August 7, 2012 by einrad (see edit history)

[guest*]

Rechte findest du HIER in diesem Post angegeben. Das ist was Prestashop sich auch als Standard setzt, wenn er installiert wird. Auf Grund von restriktiven Rechten von den Providern her vorgegeben, können diese aber variieren, denn wenn diese nicht mehr zulassen, kann Presta auch nicht setzen.

 

Der Ordner /module soll immer Schreibrechte besitzen chmod 0750 mindestens. Auch die Unterordner. Alle php-Dateien darin 0640 also nur Leserechte. MIT AUSNAHME alle Sprachfiles darin (de.ph), sonst kann man diese nicht aus dem BO übersetzen oder die Übersetzung ändern wenn nötig. Also für Sprachfiles wieder 0750 mindestens.

[guest*]

Hallo zusammen

 

Ich habe mir ein Bezahlmodul "Postfinance" zugelegt.

 

Im emailverkehr mit dem Entwickler riet mir dieser , das Modul per FTP hochzuladen und keinesfalls gezippt via Backoffice.

 

Den Ordner mit den Schreibrechten so einzustellen, dass Upload von gezippten Modulen über Prestashop nicht möglich sei, da dies ein erhebliches Sicherheitsrisiko darstelle.

 

 

Ob du deine neues Modul als zip ladest oder nicht ist absolut irrelevant. Die "alten" Entwickler sind noch die Rules aus der 1.3. gewohnt, wo man erst alles auf dem FTP laden musste und dann unter Modules zu installieren.

Anhand so einer Aussage erkennt man, wer up-to-date ist und Prestashop wirklich kennt und wer nicht...

Viele der alten Module lassen sich auch garnicht anders installieren, also hochladen als zip, weil sie schlicht und einfach falsch gepackt wurden. Man lädt sie und sie erscheinen nicht im BO unter Module, weil sie in Unterordner gepackt sind.

 

So eine Aussage wie der Entwickler von Postfinance lasse ich nicht gelten für PS 1.4. und denke mir nur mein Teil über seine Fähigkeiten... Sorry

[gelöschter user]

Ja, machte mir auch den Anschein, es handelt sich nicht um die Post selber, sondern um einen Vertragspartner.

Erlaube mir die Frage: Die php- dateien sind auf 644 eingestellt, die ordner auf 755- soll ich auf 750 bzw. 640 ändern oder kann man da so lassen ?

 

Bei 640 ist ja bei öffentliche Berechtung unter lesen das Häkchen weg- würde das nicht heissen, dass die Shopbenutzer keinen Zugriff mehr haben ?

[guest*]

Prestashop nutz nicht das FTP-Verfahren um zu schreiben, sondern HTTP - 0640 würde reichen. ABER Vorsicht ! Es hängt von den Server-Einstellungnen ab. Pauschal kann es nicht sagen, so oder so soll es sein. Bei manchen Providern ist 0640 zu wenig. Ich würde da mal nichts ändern.

 

Wenn du nichts angepasst hast, dann hat Presta das so installiert wie es dein Server zulässt und müsste eigentlich reichen. Hier gilt wieder: wenn der Provider weiss was er tut...

Ist leider so meinen Erfahrungen nach... Man nimmt es zur Kenntnis und lebt damit oder stellt bei Probleme um.

[guest*]

Vermutlich hat er gemeint, dass sich im Zip ja auch Malware enthalten könnte und deine lokale Firewall würde dann schreien...

Ehrlich gesagt, jemand der ein Modul verkauft, der muss dafür haften, dass sein Modul in Ordnung ist und keine Malware enthält.

Das sollte aber bei den Kauf-Addons aus dem Presta eigenen Shop aber auch so sein. Die Entwickler werden ja geprüft, bevor sie dort einstellen dürfen.

Bei kostenlosen Modulen würde ich das Argument sogar gelten lassen. Aber sorry, niemand ist so bösartig hier im Forum... Die meisten bieten Ihre Module ja schon Jahre an...

Vorher immer abwägen...

[gelöschter user]

Das Problem ist, wenn dann eine Aussage des Modulentwicklers die Angst schürt, fängt man an zu frickeln, verrändern und am Schluss läuft nix mehr. Never change a Winning Team- ich lasse es mal so und danke Dir bestens !

[gelöschter user]

Vermutlich hat er gemeint, dass sich im Zip ja auch Malware enthalten könnte und deine lokale Firewall würde dann schreien...

Ehrlich gesagt, jemand der ein Modul verkauft, der muss dafür haften, dass sein Modul in Ordnung ist und keine Malware enthält.

Das sollte aber bei den Kauf-Addons aus dem Presta eigenen Shop aber auch so sein. Die Entwickler werden ja geprüft, bevor sie dort einstellen dürfen.

Bei kostenlosen Modulen würde ich das Argument sogar gelten lassen. Aber sorry, niemand ist so bösartig hier im Forum... Die meisten bieten Ihre Module ja schon Jahre an...

Vorher immer abwägen...

Hmm.. hat immerhin 216.- Franken gekostet das Teil und der Entwickler ist bestimmt seriös, aber vermutlich nicht überall up do date, da er für die verschiedensten Plattformen entwickelt.

[guest*]

Frage ist beantwortet, Problem gelöst ? Sonst ändere ich den Status auf [solved] ab.