Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.comm.software.webserver > #1483

Re: Apache http public Sicherheitsfrage (ForceType)

From Arno Welzel <usenet@arnowelzel.de>
Newsgroups de.comm.software.webserver
Subject Re: Apache http public Sicherheitsfrage (ForceType)
Date 2022-10-08 22:33 +0200
Message-ID <jqe55aFmbjbU7@mid.individual.net> (permalink)
References <2bfd75e8-2730-4381-9f98-ffa70a27c0c5n@googlegroups.com>

Show all headers | View raw

Jira Admin, 2022-09-29 06:22:

> Wir betreiben Jira hinter einem Apache http reverse proxy.
> Dabei werden einige Icons und CSV Dateien in einem Ordner "public" unter der DocumentRoot veröffentlicht mit folgender Config:
>  DocumentRoot "/u01/data/httpd/www"
>     <Directory /u01/data/httpd/www>
>         Require all granted
>     </Directory>
> 
>     <Location "/public">
>         ForceType text/plain
>     </Location>

Und was hat das mit Jira zu tun?

> Die Dateien in diesem Ordner sollen ohne Authentifizierung frei verfügbar sein.
> Jetzt möchte ich in dem Ordner eine von einem Cronjob generierte Liste nicht als CSV sondern als HTML zur Verfügung stellen. Dazu müsste ich die ForceType Direktive entfernen.

Ja - denn mit ForceType wird ja *alles* als "text/plain" ausgeliefert,
auch die HTML-Dateien.

> Frage:
> Ist das ein Sicherheitsproblem?

Was genau?

> Hintergrund:
> - Der Server ist nicht aus dem Internet erreichbar.
> - Auf dem Server läuft nur Jira und nur ausgewählte Personen haben Zugriff.

Das hat damit nichts zu tun.


-- 
Arno Welzel
https://arnowelzel.de

Back to de.comm.software.webserver | Previous | NextPrevious in thread | Find similar | Unroll thread

Thread

Apache http public Sicherheitsfrage (ForceType) Jira Admin <ajira5313@gmail.com> - 2022-09-28 21:22 -0700
  Re: Apache http public Sicherheitsfrage (ForceType) Marco Moock <mo01@posteo.de> - 2022-09-29 08:20 +0200
    Re: Apache http public Sicherheitsfrage (ForceType) Jira Admin <ajira5313@gmail.com> - 2022-09-29 01:52 -0700
      Re: Apache http public Sicherheitsfrage (ForceType) Marco Moock <mo01@posteo.de> - 2022-09-29 11:15 +0200
      Re: Apache http public Sicherheitsfrage (ForceType) Arno Welzel <usenet@arnowelzel.de> - 2022-10-08 22:35 +0200
        Re: Apache http public Sicherheitsfrage (ForceType) "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2022-10-08 22:56 +0200
          Re: Apache http public Sicherheitsfrage (ForceType) Arno Welzel <usenet@arnowelzel.de> - 2022-10-09 11:59 +0200
            Re: Apache http public Sicherheitsfrage (ForceType) Arno Welzel <usenet@arnowelzel.de> - 2022-10-09 12:03 +0200
            Re: Apache http public Sicherheitsfrage (ForceType) "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2022-10-09 14:46 +0200
              Re: Apache http public Sicherheitsfrage (ForceType) Arno Welzel <usenet@arnowelzel.de> - 2022-10-09 20:44 +0200
  Re: Apache http public Sicherheitsfrage (ForceType) Arno Welzel <usenet@arnowelzel.de> - 2022-10-08 22:33 +0200

csiph-web