Como proteger arquivos de submissão originais do sistema de diário aberto

1

Eu instalei ojs no meu próprio servidor. No processo de instalação, é necessário criar uma pasta gravável por php (apache = www-data), mas não acessível a partir do navegador. A pasta é usada para salvar manuscritos carregados, que não devem ser visíveis para o público, mas devem ser legíveis pelo próprio software. Eu mudei o arquivo httpd.conf para negar a listagem dos arquivos na pasta, mas o problema não parece estar completamente resolvido. De fato, embora os nomes dos arquivos sejam aleatórios, se um usuário malicioso ou curioso tiver o nome exato do arquivo do manuscrito original, ele poderá fazer o download do arquivo. Por favor, note que existem numerosos manuscritos agora no meu servidor (Ubuntu 12.04.4). Existe alguma maneira que eu possa impedi-los de baixar (pelo menos para usuários não autorizados não registrados como editor)?

    
por remo 23.03.2014 / 21:51

1 resposta

1

O LEIAME informou o que fazer. As partes relevantes:

    * Install OJS so that the files directory is NOT a subdirectory of
      the OJS installation and cannot be accessed directly via the web
      server. 

    3. Create a directory to store uploaded files (submission files, etc.)
       and make this directory writeable. It is recommended that this
       directory be placed in a non-web-accessible location (or otherwise
       protected from direct access, such as via .htaccess rules).

Isso significa que o diretório de arquivos que você usa para uploads não deve estar em DocumentRoot . Claro que você tem que especificar sua localização em config.inc.php se você já completou a instalação.

[files]

; Complete path to directory to store uploaded files
; (This directory should not be directly web-accessible)
; Windows users should use forward slashes
files_dir = files
    
por 23.03.2014 / 22:06