È sicuro includere percorsi completi del filesystem in file pubblicati su Github?

Naviga le tue risposte
2

Alcuni dei file di configurazione che intendo pubblicare come parte di un progetto Github includono percorsi completi del file system (incluso il login del nome utente) nel mio localhost. Questo rappresenta una possibile vulnerabilità di sicurezza?

Ad esempio in un file di configurazione che posso avere 

<script>window.MathJax || document.write('<script type="text/javascript" src="/home/myspecialusername/projects/MathJax/MathJax.js?config=TeX-AMS_HTML-full"><\/script>')</script>

(In questo esempio viene richiesto al browser di utilizzare una copia locale di MathJax se offline.)

    
posta user68297 13.02.2017 - 19:37
fonte

1 risposta

0

I percorsi completi del filesystem da soli non presentano un problema, ma non è una buona pratica, né per la sicurezza né per lo sviluppo generale del software. Come menzionato schroeder, dovresti usare i percorsi relativi. L'esposizione del percorso completo del file potrebbe rendere più semplice lo sfruttamento di altre vulnerabilità, come l'attraversamento del percorso, il riferimento diretto all'oggetto o l'inclusione di file locali. Per quanto riguarda i principi generali di progettazione del software, l'utilizzo di percorsi file assoluti come quello rende la soluzione estremamente fragile e potenzialmente difficile da implementare su più server / ambienti.

Sul rovescio della medaglia, vorrei chiedersi se c'è qualche ragione per cui l'utilizzo di percorsi di file assoluti è preferibile a quelli relativi. L'unica volta in cui ciò potrebbe accadere è quando si fa riferimento a un file ospitato da CDN.

    
risposta data 13.02.2017 - 23:21
fonte

Leggi altre domande sui tag

ASN1 Verifica firma chiave pubblica Directory attiva, limitare i permessi su ldap, consentire solo la lettura del profilo personale