Pełna wersja: Upload grafiki, a związane z tym zagrożenia
Jak rozwiązujecie problem uploadu grafiki, aby nie można było przesłać pliku z doklejonym wirusem?
getimagesize" title="Zobacz w manualu PHP" target="_manual
Tyle Ci starczy, jeśli chodzi o samą grafikę.
Tyle Ci starczy, jeśli chodzi o samą grafikę.
Gordon1x - z jakim doklejonym wirusem? Przecież nie będziesz tego wykonywać jako skrypt/program....
Cytat(radex_p @ 1.08.2008, 16:20:27 ) 
Gordon1x - z jakim doklejonym wirusem? Przecież nie będziesz tego wykonywać jako skrypt/program....
Nie wiem czy wiesz ale wyświetlanie obrazka w przeglądarce polega na przeczytaniu go i sparsowaniu.Swego czasu IE posiadało dziurę w silniku parsującym, która pozawalała na wykonanie dowolnego kodu sprytnie umieszczonego w obrazku.
Nie zdziwiłbym się jeśli takie techniki gdzieś jeszcze można wykonać.
Cytat(mike @ 1.08.2008, 16:59:20 )
Nie wiem czy wiesz ale wyświetlanie obrazka w przeglądarce polega na przeczytaniu go i sparsowaniu.
Swego czasu IE posiadało dziurę w silniku parsującym, która pozawalała na wykonanie dowolnego kodu sprytnie umieszczonego w obrazku.
Nie zdziwiłbym się jeśli takie techniki gdzieś jeszcze można wykonać.
Swego czasu IE posiadało dziurę w silniku parsującym, która pozawalała na wykonanie dowolnego kodu sprytnie umieszczonego w obrazku.
Nie zdziwiłbym się jeśli takie techniki gdzieś jeszcze można wykonać.
Tyle to ja wiem, ale skoro to dziura IE (taaa, znów IE) to nic z tym się raczej nie zrobi. I to jest co najwyżej zagrożenie dla użyszkodnika, nie dla serwera.
Cytat(radex_p @ 1.08.2008, 17:28:51 )
I to jest co najwyżej zagrożenie dla użyszkodnika, nie dla serwera.
Jeśli to Twój serwis pozwala na załadowanie takiego obrazka a potem go wyświetla go użytkownikowi końcowemu to problem zabezpieczenia leży po Twojej stronie.
Cytat(mike @ 1.08.2008, 17:46:59 )
Jeśli to Twój serwis pozwala na załadowanie takiego obrazka a potem go wyświetla go użytkownikowi końcowemu to problem zabezpieczenia leży po Twojej stronie.
No to co? Mam sprawdzać poprawność każdej grafiki (na pewno spadek wydajności) tylko po to, żeby nie było problemów z jakimś historycznym IE
?
No, IMHO powinieneś zadbać o bezpieczeństwo odwiedzających Twoją stronę, serwis nie powinien wyrządzać szkód na komputerach...
Na upartego można stworzyć nowy obrazek na bazie tego wysyłanego, a ten wysyłany po całej operacji skasować. Wtedy plik z doklejonym "wirusem" będzie usunięty. Zresztą i tak często stosuje się taki mechanizm tworząc np. miniatury obrazów.
Mała dygresja odnośnie tematu obrazków:
Najbardziej można się obawiać obrazków generowanych przez php, ponieważ poza wygenerowaniem obrazka można też wykonać inne operacje, ale ten problem dotyczy w zasadzie kwestii linkowania do obrazków, a nie samego ich uploadu.
Mała dygresja odnośnie tematu obrazków:
Najbardziej można się obawiać obrazków generowanych przez php, ponieważ poza wygenerowaniem obrazka można też wykonać inne operacje, ale ten problem dotyczy w zasadzie kwestii linkowania do obrazków, a nie samego ich uploadu.
Więc "na chama" powinno się też wyłapywać zdjęcia wstawiane np. na to forum i zapisywać je u siebie wg. schematu podanego wyżej? 
Chodzi mi np. o tag [img][/img]
Chodzi mi np. o tag [img][/img]
mówiłem, że GIF jest be 
A tak na poważnie: aż ciężko uwierzyć, że "większość" (jak to napisali w artykule) przeglądarek ma tak dziurawe parsery grafiki.
A tak na poważnie: aż ciężko uwierzyć, że "większość" (jak to napisali w artykule) przeglądarek ma tak dziurawe parsery grafiki.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.