Aus aktuellem Anlass, da uberspace seine Symlinks policy aus Sicherheitsgründen geändert hat, frage ich mich jetzt gerade ob (falls ja, welche?) das Auswirkungen auf die Nutzung von composer in Contao hat.
Wird die Einstellung "Options FollowSymLinks" eigentlich in irgendeiner .htaccess von Contao/Composer gesetzt oder muss das im Zweifelsfall der User selbst einfügen, falls die Option nicht sowieso per Default gesetzt ist? Genügt notfalls auch ein "Options SymLinksIfOwnerMatch"?
Hintergrund ist der, dass durch die Apache-Konfiguration von uberspace eine Symlink-Attacke auf die Daten anderer User möglich war. Wen es interessiert, der kann es hier im Detail nachlesen. Würde mich ja mal interessieren, wieviele andere Webhoster von diesem Problem auch betroffen sind, ohne was davon zu wissen . Würde mich nicht wundern, wenn es so einige wären.
Jedenfalls ist der von uberspace gewählte Fix, "Options FollowSymLinks" in .htaccess-Dateien nicht mehr zuzulassen und stattdessen nur noch "Options SymLinksIfOwnerMatch". Was (laut uberspace) fast dasselbe bewirkt, allerdings mit der Einschränkung, dass man nur noch Symlinks auf eigene Dateien anlegen kann.