Конференция VBStreets

[ACiD]

1 Желательно добавить в закачку тип файлов djvu(странно что он
ещё не появился на этом сайте). Этот тип не имеет смысла
запихивать в архив.
2 Расширение файла нужно проверять до его закачки
(старался, закачивал, а в итоге этот тип не поддерживается )

[GSerg]

Ещё много типов не имеет смысл запихивать в архив. Однако все запихивают, именно для того, чтобы было правильное и расширение, и содержимое.

[ACiD]

но хочу заметить что djvu формат - соперник pdf, его нельзя игнорировать, и он набирает популярность

[Хакер]

GSerg

Ещё много типов не имеет смысл запихивать в архив. Однако все запихивают, именно для того, чтобы было правильное и расширение, и содержимое.

А чем сабжевое расширение неправильное?

[GSerg]

Правильное = разрешённое для закачки.

[Хакер]

Разрешил.

[tyomitch]

А зачем вообще, кстати, введёны ограничения на расширения?

[Хакер]

Затем, что если не следить за ними, можно будет загрузить .htaccess файл, и положить сервер.

Можно будет загрузить .php и perl-скрипты, выполнить их, и таким образом взломать форум, сайт и тд.

Можно загрузить .exe-файл, содержащий вирус. При скачивании exe-файлов, броузер предлагает их запустить. Таким образом, неграмотные пользователи будут загружать себе вирусы, ни о чём не подозревая.

[tyomitch]

1) разве файлы, физически лежащие на сервере, не переименовываются?
Они вынуждены: я могу залить несколько файлов с одинаковыми именами, и как-то они все на сервере уместятся.
Значит, залитие .htaccess-а ничему не угрожает.

2) тот же самый вирус можно упаковать в архив, и безголовые пользователи точно так же его запустят. В чём защита?

[Хакер]

tyomitch
Они переименовываются, но только если есть конфликт (c уже существующими). И переименовываются таким образом:
hack.php => hack5465124.php
Так что даже если файл будет переименован, его можно будет найти. В документации вообще говорится, о необходимости ставить запирающих .htaccess на директорию /files/ если используется безопасная скачка; но много ли людей, которые читают документацию?

[tyomitch]

Ну и что мешает пропатчить то место, где проверяется, есть ли конфликт, чтобы файлы всегда переименовывались?
И после этого можно будет разрешить заливать файлы с любыми именами и расширениями.

[Хакер]

Да, вобщем-то, ничего не мешает.

Но если используется Physical method, узнать имя файла будет всё равно - очень просто (знающим протокол HTTP людям), так что переименеование не спасёт.

А если используется Inline-method, куда проще выставить запирающий хтаксес.

[tyomitch]

Так ведь и не надо, чтобы его нельзя было узнать.
Достаточно, чтобы его нельзя было предопределить.
(Пусть злоумышленник знает, что его файл лежит под именем 5465124.htaccess, ну и что ему это дало?)

[Хакер]

Так ведь и не надо, чтобы его нельзя было узнать.

Inline-метод aka Безопасное скачивание не позволяет узнать реальное имя файла. Однако он очень ресурсоёмкий, и, во-первых, с его "помощью" можно устраивать DDoS-атаку, а во-вторых, скачивание больших файлов может по-просту оборваться (зависит от настроек сервера).

А Physical-метод, опасен тем, что любой желающим может узнать реальное имя файла. И будь это php-скрипт - запустить его. В таком случае. Поэтому лучше всё-таки запретить закачивание файлов с расширением .php . Хотя я, например, умею и это обходить.

[tyomitch]

Следующий вариант: дописывать куку не к имени, а к расширению, если сервер такой чудной, что выполнимость файлов определяет по нему.
Тогда hack.php будет лежать под именем hack.php5465124, и не будет представлять угрозы.

[Хакер]

Лучше всё-же 0f54ec956354a64f6845654b6854cc654d0f54ec95635. Тогда, точно никаких проблем не будет.

[tyomitch]

Угу, так ещё лучше.
Можно так?

[Хакер]

Можно. А нужна ли нам закачка файлов с абсолютно любыми расширениями? Если нужна, то так и сделаем.

[tyomitch]

Имхо нужнее, чем новые теги из соседнего топика