¿Es seguro incluir rutas del sistema de archivos completas en los archivos publicados en Github?

2

Algunos de los archivos de configuración que quiero publicar como parte de un proyecto de Github incluyen rutas del sistema de archivos completo (incluido el nombre de usuario de inicio de sesión) en mi host local. ¿Se plantea esto como una posible vulnerabilidad de seguridad?

Por ejemplo, en un archivo de configuración que pueda tener

<script>window.MathJax || document.write('<script type="text/javascript" src="/home/myspecialusername/projects/MathJax/MathJax.js?config=TeX-AMS_HTML-full"><\/script>')</script>

(En este ejemplo, se indica al navegador que use una copia local de MathJax si está desconectado).

    
pregunta user68297 13.02.2017 - 19:37
fuente

1 respuesta

0

Las rutas completas del sistema de archivos por sí mismas no presentan un problema, pero no es la mejor práctica, ya sea para el desarrollo de software general o de seguridad. Como mencionó Schroeder, debe usar rutas de acceso relativas. Exponer la ruta completa del archivo podría facilitar la explotación de otras vulnerabilidades, como el recorrido de la ruta, la referencia directa de objetos o la inclusión de archivos locales. En lo que respecta a los principios generales de diseño de software, el uso de rutas de archivos absolutas como esas hace que su solución sea extremadamente frágil y potencialmente difícil de implementar en múltiples servidores / entornos.

En el otro lado, me pregunto si hay alguna razón por la que es preferible utilizar rutas de archivos absolutas a las relativas. La única vez que ese podría ser el caso es cuando hace referencia a un archivo alojado en CDN.

    
respondido por el user52472 13.02.2017 - 23:21
fuente

Lea otras preguntas en las etiquetas