Noted: <a href="http://trac.vtiger.com/cgi-bin/trac.cgi/ticket/7664">http://trac.vtiger.com/cgi-bin/trac.cgi/ticket/7664</a><div><br></div><div>Regards,</div><div>Prasad</div><div><br clear="all"><div><span style="border-collapse:collapse;font-family:arial,sans-serif;font-size:13px"><b>Connect with us on: </b><a href="http://twitter.com/vtigercrm" style="color:rgb(0,0,204)" target="_blank">Twitter</a> <b>I</b> <a href="http://www.facebook.com/pages/vtiger/226866697333578?sk=wall" style="color:rgb(0,0,204)" target="_blank">Facebook</a> <b>I</b> <a href="http://blog.vtiger.com/" style="color:rgb(0,0,204)" target="_blank">Blog</a><b> I</b> <a href="http://wiki.vtiger.com/index.php/Main_Page" style="color:rgb(0,0,204)" target="_blank">Wiki</a> <b>I </b><a href="http://forums.vtiger.com/" style="color:rgb(0,0,204)" target="_blank">Forums </a><b>I</b> <a href="http://vtiger.com/" style="color:rgb(0,0,204)" target="_blank">Website</a></span></div>


<br><br><div class="gmail_quote">On Wed, Mar 27, 2013 at 5:28 PM, Alan Lord <span dir="ltr"><<a href="mailto:alanslists@gmail.com" target="_blank">alanslists@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<rant><br>
<br>
Dear vtiger devs please can you stop using 777 whenever you programatically install a new file or directory?<br>
<br>
This is *really* bad practice.<br>
<br>
When a custom module is installed via the module manager everything is set to 777 which means that every file and directory is read/write/execute for *any* user.<br>
<br>
I just looked at the code for the vtiger end of the Exchange Connector before installing it on a customer's system and there is "if (!is_dir($dir)) mkdir($dir, 0777, true);"<br>
<br>
Normal practice for POSIX would be:<br>
<br>
1. Directories within the vtiger tree should be 755 (rwxr-xr-x)<br>
which prevents writing by anyone other than apache - the file owner.<br>
<br>
2. .php files should be 644 (rw-r--r--) which makes them read-only for everyone but apache (the file owner) and not executable by anything. Ideally most files and directories should not even be writeable by apache. But they certainly do not need to be executable.<br>


<br>
In my opinion this is just really shoddy and lazy. It is also very bad from a security perspective.<br>
<br>
Alan<br>
<br>
PS: On Windows I really do not care what you do - We do not use Windows because of this kind of thing. On Posix systems we have a proper file system with a proper permission architecture for a very good reason...<br>
<br>
</rant><br>
<br>
______________________________<u></u>_________________<br>
<a href="http://www.vtiger.com/" target="_blank">http://www.vtiger.com/</a><br>
</blockquote></div><br></div>