Ich bin (bislang) komplett unbeteiligt und kenne den Quelltext nicht (!). In den Verzeichnissen liegt eine php-basierte App (ich vermute eine angepasste typo3-basierte App), die aus einem FileAdmin-Ordner PDF-Dateien (Aufsätze und ähnliche Dokumente) ausliefert. Ich vermute, dass für das Schaufeln der PDF-Dokumente auf den Server Python oder Java zum Einsatz kommt, habe aber keinen Einblick. Da im FileAdmin wohl
auch interne Dateien (PDFs) hochgeladen werden und die php-App die Auslieferung incl. Zugriffssteuerung erledigen soll, ist das Verzeichnis momentan durch htaccess gesichert. Den Server betreue ich nicht und mit der Upload-App habe ich bislang auch nichts zu tun. Ich wurde nur nach meiner Meinung gefragt. Es ergeben sich konkret zwei Fragen:
Prinzipiell ist die Sicherheit unabhängig davon, wie Verzeichnisse benannt werden.
Aktuell gibt es wohl die Überlegung, die PDF-Dateien im FileAdmin-Ordner aus einem Unterverzeichnis von httpdocs in einen über das Internet nicht erreichbaren Ordner auf dem Server zu verlegen. Der Autor der php-App hat das wohl angestoßen, weil er diese Struktur eigentlich von den anderen Projekten seiner Agentur gewohnt war. Für mich stellt sich die Frage, ob wir damit gegenüber einer Sicherung durch htaccess ein Mehr an Sicherheit gewinnen.
Wichtig ist nur, dass in einem öffentlich erreichbaren Verzeichnis nur Dateien liegen, die man auch öffentlich erreichbar haben will. Und es darf keine vom Server "ausführbaren" Dateien dort liegen.
Da liegen PDF-Dateien, die durch htaccess geschützt sind. Wie seht ihr das? Reicht dieser Schutz. Ich habe mich damit vor Jahren befasst und hielt das damals immer für sehr sicher.
Auch ftp ist es egal, wie die Verzeichnisse heißen. Du hast Zugriff auf alles ab einer bestimmten Ebene.
In das Projekt sind wohl viele Stellen eingebunden und ich vermute, dass die php-App und die Upload-App extern betreut werden. Komme ich über ftp in einen Ordner oberhalb von httpdocs und kann ich dorthin PDF-Artikel hochladen? Die Frage nach der bestimmten Ebene stellt sich mir gerade. Ich habe keinen Test-Webspace, wo ich Zugriff auf einen Bereich oberhalb von htdocs hätte, d. h. ich kann es nicht testen. Kann das jemand beantworten? Hat das schon mal jemand machen müssen?