Forum PHP.pl

Forum PHP.pl > Inne > Hydepark

Upload grafiki, a związane z tym zagrożenia

Gordon1x Zobacz profil	1.08.2008, 12:46:36 Post #1
Grupa: Zarejestrowani Postów: 43 Pomógł: 0 Dołączył: 13.06.2007 Ostrzeżenie: (0%)	Jak rozwiązujecie problem uploadu grafiki, aby nie można było przesłać pliku z doklejonym wirusem?

Start new topic

Odpowiedzi (1 - 11)

bim2 Zobacz profil	1.08.2008, 13:44:37 Post #2
Grupa: Zarejestrowani Postów: 1 873 Pomógł: 152 Dołączył: 9.04.2006 Skąd: Berlin Ostrzeżenie: (0%)	getimagesize" title="Zobacz w manualu PHP" target="_manual Tyle Ci starczy, jeśli chodzi o samą grafikę. -------------------- » Hern.as » Move to Apple Music

.radex Zobacz profil	1.08.2008, 15:20:27 Post #3
Grupa: Zarejestrowani Postów: 1 657 Pomógł: 125 Dołączył: 29.04.2006 Ostrzeżenie: (0%)	Gordon1x - z jakim doklejonym wirusem? Przecież nie będziesz tego wykonywać jako skrypt/program.... -------------------- blog \| Tadam — minutnik do Pomodoro na Maka :)

mike Zobacz profil	1.08.2008, 15:59:20 Post #4
Grupa: Przyjaciele php.pl Postów: 7 494 Pomógł: 302 Dołączył: 31.03.2004 Ostrzeżenie: (0%)	Cytat(radex_p @ 1.08.2008, 16:20:27 ) Gordon1x - z jakim doklejonym wirusem? Przecież nie będziesz tego wykonywać jako skrypt/program.... Nie wiem czy wiesz ale wyświetlanie obrazka w przeglądarce polega na przeczytaniu go i sparsowaniu. Swego czasu IE posiadało dziurę w silniku parsującym, która pozawalała na wykonanie dowolnego kodu sprytnie umieszczonego w obrazku. Nie zdziwiłbym się jeśli takie techniki gdzieś jeszcze można wykonać.

.radex Zobacz profil	1.08.2008, 16:28:51 Post #5
Grupa: Zarejestrowani Postów: 1 657 Pomógł: 125 Dołączył: 29.04.2006 Ostrzeżenie: (0%)	Cytat(mike @ 1.08.2008, 16:59:20 ) Nie wiem czy wiesz ale wyświetlanie obrazka w przeglądarce polega na przeczytaniu go i sparsowaniu. Swego czasu IE posiadało dziurę w silniku parsującym, która pozawalała na wykonanie dowolnego kodu sprytnie umieszczonego w obrazku. Nie zdziwiłbym się jeśli takie techniki gdzieś jeszcze można wykonać. Tyle to ja wiem, ale skoro to dziura IE (taaa, znów IE) to nic z tym się raczej nie zrobi. I to jest co najwyżej zagrożenie dla użyszkodnika, nie dla serwera. -------------------- blog \| Tadam — minutnik do Pomodoro na Maka :)

mike Zobacz profil	1.08.2008, 16:46:59 Post #6
Grupa: Przyjaciele php.pl Postów: 7 494 Pomógł: 302 Dołączył: 31.03.2004 Ostrzeżenie: (0%)	Cytat(radex_p @ 1.08.2008, 17:28:51 ) I to jest co najwyżej zagrożenie dla użyszkodnika, nie dla serwera. Jeśli to Twój serwis pozwala na załadowanie takiego obrazka a potem go wyświetla go użytkownikowi końcowemu to problem zabezpieczenia leży po Twojej stronie.

.radex Zobacz profil	1.08.2008, 17:48:37 Post #7
Grupa: Zarejestrowani Postów: 1 657 Pomógł: 125 Dołączył: 29.04.2006 Ostrzeżenie: (0%)	Cytat(mike @ 1.08.2008, 17:46:59 ) Jeśli to Twój serwis pozwala na załadowanie takiego obrazka a potem go wyświetla go użytkownikowi końcowemu to problem zabezpieczenia leży po Twojej stronie. No to co? Mam sprawdzać poprawność każdej grafiki (na pewno spadek wydajności) tylko po to, żeby nie było problemów z jakimś historycznym IE ? -------------------- blog \| Tadam — minutnik do Pomodoro na Maka :)

Mystic007 Zobacz profil	1.08.2008, 19:17:42 Post #8
Grupa: Zarejestrowani Postów: 106 Pomógł: 1 Dołączył: 22.04.2006 Skąd: Będzin Ostrzeżenie: (0%)	No, IMHO powinieneś zadbać o bezpieczeństwo odwiedzających Twoją stronę, serwis nie powinien wyrządzać szkód na komputerach... Ten post edytował Mystic007 1.08.2008, 19:18:06

Speedy Zobacz profil	2.08.2008, 14:11:29 Post #9
Grupa: Zarejestrowani Postów: 651 Pomógł: 28 Dołączył: 4.12.2004 Ostrzeżenie: (0%)	Na upartego można stworzyć nowy obrazek na bazie tego wysyłanego, a ten wysyłany po całej operacji skasować. Wtedy plik z doklejonym "wirusem" będzie usunięty. Zresztą i tak często stosuje się taki mechanizm tworząc np. miniatury obrazów. Mała dygresja odnośnie tematu obrazków: Najbardziej można się obawiać obrazków generowanych przez php, ponieważ poza wygenerowaniem obrazka można też wykonać inne operacje, ale ten problem dotyczy w zasadzie kwestii linkowania do obrazków, a nie samego ich uploadu. Ten post edytował Speedy 2.08.2008, 14:13:58 -------------------- Sygnatura niezgodna z regulaminem.

Mystic007 Zobacz profil	2.08.2008, 19:36:14 Post #10
Grupa: Zarejestrowani Postów: 106 Pomógł: 1 Dołączył: 22.04.2006 Skąd: Będzin Ostrzeżenie: (0%)	Więc "na chama" powinno się też wyłapywać zdjęcia wstawiane np. na to forum i zapisywać je u siebie wg. schematu podanego wyżej? Chodzi mi np. o tag [img][/img] Ten post edytował Mystic007 2.08.2008, 19:36:26

bełdzio Zobacz profil	2.08.2008, 19:53:12 Post #11
Grupa: Zarejestrowani Postów: 690 Pomógł: 81 Dołączył: 6.04.2005 Skąd: Szczecin Ostrzeżenie: (0%)	http://www.idg.pl/news/161084.html -------------------- Let's Rock! - Agencja interaktywna dla wymagających O tworzeniu (bezpiecznych) aplikacji internetowych

.radex Zobacz profil	2.08.2008, 21:40:54 Post #12
Grupa: Zarejestrowani Postów: 1 657 Pomógł: 125 Dołączył: 29.04.2006 Ostrzeżenie: (0%)	mówiłem, że GIF jest be A tak na poważnie: aż ciężko uwierzyć, że "większość" (jak to napisali w artykule) przeglądarek ma tak dziurawe parsery grafiki. -------------------- blog \| Tadam — minutnik do Pomodoro na Maka :)

« Następny starszy · Hydepark · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Wersja Lo-Fi

Aktualny czas: 14.08.2025 - 08:19

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn