Yii Framework Forum: Dúvida Sobre A Pasta Runtime - Yii Framework Forum

Jump to content

Page 1 of 1
  • You cannot start a new topic
  • You cannot reply to this topic

Dúvida Sobre A Pasta Runtime Rate Topic: -----

#1 User is offline   Edivaldo Reis 

  • Junior Member
  • Pip
  • Yii
  • Group: Members
  • Posts: 28
  • Joined: 22-March 12

Posted 25 October 2012 - 07:38 PM

Para que uma aplicação desenvolvida com Yii funcione, é necessário deixar a pasta runtime em applications com permissão de escrita.

O fato da pasta runtime ficar com permissão de escrita não deixaria o servidor vulnerável a ataques?? Um cracker conseguiria enviar arquivos para a pasta runtime?

Se um cracker tiver acesso ao arquivo application.log da pasta runtime, pode ser um prato cheio para ele hackear o site?
0

#2 User is offline   Newerton 

  • Master Member
  • PipPipPipPip
  • Yii
  • Group: Members
  • Posts: 818
  • Joined: 27-April 10
  • Location:Campo Grande/MS - Cambé/PR, Brasil

Posted 25 October 2012 - 10:41 PM

Edivaldo,

Pelo browser é dificil ele acessar a pasta runtime.
Se ele conseguir acessar diretamente pelo servidor, ele não irá na pasta runtime, e sim na config/

A pasta runtime quem tem acesso a ela de leitura e escrita e somente o framework, ha não ser que você tenha alguma aplicação que esteja enviando algum tipo de arquivo para a pasta runtime.
Newerton Vargas de Araújo
0

#3 User is offline   Lothor 

  • Standard Member
  • PipPip
  • Yii
  • Group: Members
  • Posts: 147
  • Joined: 05-August 11
  • Location:Brazil

Posted 26 October 2012 - 09:10 AM

Exatamente Edivaldo, conforme o Newerton falou, não dá para alguém acessar a pasta "runtime" através do navegador.

Vale lembrar que na pasta "protected", temos um arquivo .htacess com um deny from all lá dentro, ou seja, o que estiver dentro de "protected", só o framework terá acesso.
0

#4 User is offline   Rodrigo Coelho 

  • Master Member
  • PipPipPipPip
  • Yii
  • Group: Members
  • Posts: 665
  • Joined: 05-August 10
  • Location:Rio de Janeiro, Brazil

Posted 26 October 2012 - 10:35 AM

Edivaldo, você pode tomar alguns cuidados:

  • Rodar o PHP e o servidor Web com um usuário específico e com o mínimo de privilégios.
  • Permitir somente as permissões (leitura, escrita e execução) necessárias e para determinados grupos e usuários nos arquivos e diretórios do projeto.
  • Eu gosto de tirar o diretório runtime (e outros) de dentro do webroot. Veja o link abaixo.


Há também um tópico sobre segurança no guia e vários artigos no wiki, onde eu recomendo Moving project code outside of webroot e How to write secure Yii applications.
0

Share this topic:


Page 1 of 1
  • You cannot start a new topic
  • You cannot reply to this topic

1 User(s) are reading this topic
0 members, 1 guests, 0 anonymous users