hallo Tom,

Ich beschäftige mich gerade nochmal intensiver mit Contenido.
Da werden im Adminstrator-Handbuch merkwürdige Tipps gegeben.
  - safe_mode muss off sein
  - Files und Directories müssen 0777 bekommen

Ich kenne Contenido nur flüchtig. Ein Handbuch habe ich nie gelesen. Der Hinweis auf "off" bei safe_mode erscheint mir dubios, und mit der 0777 muß gründlich überlegt werden: wenn über das CMS _nur_ Texte bzw. HTML-Dateien geschrieben werden sollen, reicht 664 aus. Sollen aber damit auch "Scripts" erstellt werden können, könnte tatsächlich 775 nötig sein. 777 halte ich generell für ein Sicherheitsrisiko, abgesehen von einem lokalen Netz, in dem man die beteiligten Rechner und Kollegen gut kennt.

Nun wollte ich es auch noch außerhalb der Doc-Root unterbringen, was für einen "Normaluser" zwar nicht möglich sein wird, mir aber für den Mandantenbetrieb als angemessen erscheint.

Du kannst auf (nahezu) jedes auf dem Server-Rechner vorhandene Verzeichnis außerhalb der Dokumentwurzel mit den nötigen Rechten zugreifen, indem du einen Alias dafür festlegst. Wie Wahsaga aber bereits richtig angemerkt hat, ist ein Zugriff über HTTP auf _oberhalb_ gelegene Verzeichnisse auf dem Server-Rechner grundsätzlich nicht möglich. Das heißt, es ist nicht nötig, sich hier Sorgen zu machen, daß jemand, der auf ein solches Alias-Verzeichnis außerhalb der DocumentRoot über HTTP zugreifen darf, auch noch als ungebetener Gast in anderen Verzeichnissen des Server-Rechners herumspazieren könnte. Das kann er nicht. Bestehen allerdings andere Zugriffsmöglichkeiten (telnet, SSH), muß man an das Sicherheitskonzept auch vollkommen anders herangehen.

Grüße aus Berlin

Christoph S.