/ İndirici'yi korumak için önerilen yöntem?

29

Magento / indiriciyi , Magento Connect Manager aracılığıyla programları kolayca kurmanın bir yolu olarak kullandığından, botların veya kişilerin kurulum için kimlik bilgilerini öğrenmeye çalışmasına olanak sağladığı için bunun da bir güvenlik kaygısı olduğu açıktır.

Web siteme erişim günlüklerini kontrol ederken, www.mysite.com/downloader girişimi sırasında alarm verildi

I etrafında bir çalışma için indirme dizinini yeniden adlandırma alışkanlığı kazanılmış ettik gibi downloader.offline ama bazen unutuyorum. (Bir programı yüklemek için yeniden adlandırmak ya da işim bittikten sonra).

Bu bağlantıyı korumak için önerilen yöntem nedir?

security magento-connect downloader

— SR_Magento
kaynak

35

downloaderDizindeki Disallow from allherhangi bir isteği yasaklamak için dizine bir .htaccess (ya da nginx / ne bir yapılandırma varsa) koyun.

Birkaç IP adresinin girmesine izin vermek istiyorsanız, (kendinizinki gibi), .htaccess

order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8

İzin vermek istediğiniz IP adresleri nerede 1.2.3.4ve nerede 5.6.7.8.

Tercih ettiğim yol: Sadece sil downloader

— Fabian Blechschmidt
kaynak

1

Elbette kimse erişemez. Magento bu yolda mı bağlanıyor? O zaman <ip> 'den İzin vermeniz veya yetkilendirme kullanmanız gerekir

— Fabian Blechschmidt

7

Ya da daha iyisi, indiriciyi hiç kullanmayın.

— Daniel Sloof

3

Tabii ki! Magento connect, sistemin durumunun güvenilir şekilde çoğaltılmasına ve sürüm kontrol sistemi kullanılmasına izin vermez. Modman ya da daha iyi bir besteci kullanmanızı öneririm!

— Fabian Blechschmidt

1

Besteci FTW - Fabian burada öldü.

— Bryan 'BJ' Hoffpauir Jr. 0

1

magento connect dizini indirme işlemidir. Bu sorun çıkarırsa bu uzatma çok bozuk gibi görünüyor?

— Fabian Blechschmidt

17

@ Daniel-sloof'un önerisiyle birlikte, Magento Connect yükleyicisini tamamen çukurtacağımı söyleyebilirim. Genellikle .gitignoreyeni bir havuz kurarken eklerim .

Bunun sebebi, Fabian'ın cevap yorumlarında belirttiği gibi, üretim ortamınızın kaynak kontrolünde Connect'in paketlerini taahhüt etmeden çoğaltılmasını sağlama imkânının bulunmamasıdır. Burada kaybedeceğiniz özellik, Connect'ten paketleri güncelleme / yükseltme kabiliyetidir - ancak gerçekten bu işlevselliğe ihtiyaç duyuyorsanız, bunu yerel olarak dev kutunuzda yapabilirsiniz ve çalıştıklarından memnun olduğunuzda sonuçları taahhüt edebilirsiniz.

tl; dr:

/downloaderKlasörü silin veya kaynak kontrolünüzden kaldırın.

— philwinkle
kaynak

1

Bir tür can sıkıcı olsa da. ./mage installCLI komutunun Magento Connect için yalnızca bir sarıcı olduğunu farz ediyorum . düzenleme: Aslında sadece kullanabilirsiniz magerun extension:install:)

— Erfan

: / N98-Magerun ayrıca bir sarıcıdır downloader/mage.php. Sanırım bir şeyler yüklemeniz gerekirse, yerel dev ortamınıza kopyalayıp / indirebilirsin

— Erfan

Nedense, artık kendimi çalışır halde buluyorum. /Mage geliştirme sunucumda artık bir dosya indiricisi olarak. Canlı ortamlarda var olmanın tek nedeni artık yama bağımlılıkları.

— Fiasco Labs

6

Ben genellikle downloader dizinini silerim, fakat root htaccess'te aşağıdaki yönergeyi de faydalı buldum:

RewriteRule ^downloader/ - [L,R=404]

İndirici dizini mevcut olsa bile Apache'nin 404 yanıt göndermesini sağlar.

— Fabian Schmengler
kaynak

Ben de bu yöntemi severim

— SR_Magento

1

Tüm indirici istekleri için çalışmıyor. deneyinwww.mysite.com/index.php/myadminurl/index/downloader

— David Wilkins

Diğer yorumumdaki yöntem indirme programına gerçekten erişmese de, yönetici girişine kısa yoldan (uzun yol?) Geçiyor. Bunun çalışması için birisinin sizin adminurl'nuzu bilmesi gerekir. adminurl ifşa güvenlik açığını henüz yamalamadıysanız, birisinin edinmesi olasıdır.

— David Wilkins

benim için çalıştı. Mükemmellik

— sandip

5

indirme klasörünü yeniden adlandırmaya ne dersiniz? İhtiyaç duyulduğunda kolayca "downloader" olarak yeniden adlandırılabilir, gerektiğinde güncelleme ve yükleme yapılarak tekrar değiştirilebilir. Benim için çalışıyor gibi görünüyor.

— dadda
kaynak