закачка фаелов

Обсуждение дизайна и функциональности сайта и форума.
ACiD
Бывалый
Бывалый
Аватара пользователя
 
Сообщения: 261
Зарегистрирован: 10.12.2005 (Сб) 2:29
Откуда: г. Санкт - Петербург

закачка фаелов

Сообщение ACiD » 06.06.2007 (Ср) 14:26

1 Желательно добавить в закачку тип файлов djvu(странно что он
ещё не появился на этом сайте). Этот тип не имеет смысла
запихивать в архив.
2 Расширение файла нужно проверять до его закачки
(старался, закачивал, а в итоге этот тип не поддерживается :( )

GSerg
Шаман
Шаман
 
Сообщения: 14286
Зарегистрирован: 14.12.2002 (Сб) 5:25
Откуда: Магадан

Сообщение GSerg » 06.06.2007 (Ср) 14:28

Ещё много типов не имеет смысл запихивать в архив. Однако все запихивают, именно для того, чтобы было правильное и расширение, и содержимое.
Как только вы переберёте все варианты решения и не найдёте нужного, тут же обнаружится решение, простое и очевидное для всех, кроме вас

ACiD
Бывалый
Бывалый
Аватара пользователя
 
Сообщения: 261
Зарегистрирован: 10.12.2005 (Сб) 2:29
Откуда: г. Санкт - Петербург

Сообщение ACiD » 06.06.2007 (Ср) 14:35

но хочу заметить что djvu формат - соперник pdf, его нельзя игнорировать, и он набирает популярность

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Сообщение Хакер » 06.06.2007 (Ср) 14:35

GSerg
Ещё много типов не имеет смысл запихивать в архив. Однако все запихивают, именно для того, чтобы было правильное и расширение, и содержимое.


А чем сабжевое расширение неправильное?
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

GSerg
Шаман
Шаман
 
Сообщения: 14286
Зарегистрирован: 14.12.2002 (Сб) 5:25
Откуда: Магадан

Сообщение GSerg » 06.06.2007 (Ср) 14:40

Правильное = разрешённое для закачки.
Как только вы переберёте все варианты решения и не найдёте нужного, тут же обнаружится решение, простое и очевидное для всех, кроме вас

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Сообщение Хакер » 06.06.2007 (Ср) 14:49

Разрешил.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

tyomitch
Пользователь #1352
Пользователь #1352
Аватара пользователя
 
Сообщения: 12822
Зарегистрирован: 20.10.2002 (Вс) 17:02
Откуда: חיפה

Сообщение tyomitch » 06.06.2007 (Ср) 18:41

А зачем вообще, кстати, введёны ограничения на расширения?
Изображение

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Сообщение Хакер » 06.06.2007 (Ср) 18:54

Затем, что если не следить за ними, можно будет загрузить .htaccess файл, и положить сервер.

Можно будет загрузить .php и perl-скрипты, выполнить их, и таким образом взломать форум, сайт и тд.

Можно загрузить .exe-файл, содержащий вирус. При скачивании exe-файлов, броузер предлагает их запустить. Таким образом, неграмотные пользователи будут загружать себе вирусы, ни о чём не подозревая.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

tyomitch
Пользователь #1352
Пользователь #1352
Аватара пользователя
 
Сообщения: 12822
Зарегистрирован: 20.10.2002 (Вс) 17:02
Откуда: חיפה

Сообщение tyomitch » 06.06.2007 (Ср) 19:20

1) разве файлы, физически лежащие на сервере, не переименовываются?
Они вынуждены: я могу залить несколько файлов с одинаковыми именами, и как-то они все на сервере уместятся.
Значит, залитие .htaccess-а ничему не угрожает.

2) тот же самый вирус можно упаковать в архив, и безголовые пользователи точно так же его запустят. В чём защита?
Изображение

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Сообщение Хакер » 06.06.2007 (Ср) 19:24

tyomitch
Они переименовываются, но только если есть конфликт (c уже существующими). И переименовываются таким образом:
hack.php => hack5465124.php
Так что даже если файл будет переименован, его можно будет найти. В документации вообще говорится, о необходимости ставить запирающих .htaccess на директорию /files/ если используется безопасная скачка; но много ли людей, которые читают документацию?
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

tyomitch
Пользователь #1352
Пользователь #1352
Аватара пользователя
 
Сообщения: 12822
Зарегистрирован: 20.10.2002 (Вс) 17:02
Откуда: חיפה

Сообщение tyomitch » 06.06.2007 (Ср) 19:46

Ну и что мешает пропатчить то место, где проверяется, есть ли конфликт, чтобы файлы всегда переименовывались?
И после этого можно будет разрешить заливать файлы с любыми именами и расширениями.
Изображение

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Сообщение Хакер » 06.06.2007 (Ср) 20:02

Да, вобщем-то, ничего не мешает.

Но если используется Physical method, узнать имя файла будет всё равно - очень просто (знающим протокол HTTP людям), так что переименеование не спасёт.

А если используется Inline-method, куда проще выставить запирающий хтаксес.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

tyomitch
Пользователь #1352
Пользователь #1352
Аватара пользователя
 
Сообщения: 12822
Зарегистрирован: 20.10.2002 (Вс) 17:02
Откуда: חיפה

Сообщение tyomitch » 06.06.2007 (Ср) 20:07

Так ведь и не надо, чтобы его нельзя было узнать.
Достаточно, чтобы его нельзя было предопределить.
(Пусть злоумышленник знает, что его файл лежит под именем 5465124.htaccess, ну и что ему это дало?)
Изображение

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Сообщение Хакер » 06.06.2007 (Ср) 20:15

Так ведь и не надо, чтобы его нельзя было узнать.

Inline-метод aka Безопасное скачивание не позволяет узнать реальное имя файла. Однако он очень ресурсоёмкий, и, во-первых, с его "помощью" можно устраивать DDoS-атаку, а во-вторых, скачивание больших файлов может по-просту оборваться (зависит от настроек сервера).

А Physical-метод, опасен тем, что любой желающим может узнать реальное имя файла. И будь это php-скрипт - запустить его. В таком случае. Поэтому лучше всё-таки запретить закачивание файлов с расширением .php . Хотя я, например, умею и это обходить.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

tyomitch
Пользователь #1352
Пользователь #1352
Аватара пользователя
 
Сообщения: 12822
Зарегистрирован: 20.10.2002 (Вс) 17:02
Откуда: חיפה

Сообщение tyomitch » 06.06.2007 (Ср) 20:30

Следующий вариант: дописывать куку не к имени, а к расширению, если сервер такой чудной, что выполнимость файлов определяет по нему.
Тогда hack.php будет лежать под именем hack.php5465124, и не будет представлять угрозы.
Изображение

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Сообщение Хакер » 06.06.2007 (Ср) 20:34

Лучше всё-же 0f54ec956354a64f6845654b6854cc654d0f54ec95635. Тогда, точно никаких проблем не будет.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

tyomitch
Пользователь #1352
Пользователь #1352
Аватара пользователя
 
Сообщения: 12822
Зарегистрирован: 20.10.2002 (Вс) 17:02
Откуда: חיפה

Сообщение tyomitch » 06.06.2007 (Ср) 20:43

Угу, так ещё лучше.
Можно так?
Изображение

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Сообщение Хакер » 06.06.2007 (Ср) 20:44

Можно. А нужна ли нам закачка файлов с абсолютно любыми расширениями? Если нужна, то так и сделаем.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

tyomitch
Пользователь #1352
Пользователь #1352
Аватара пользователя
 
Сообщения: 12822
Зарегистрирован: 20.10.2002 (Вс) 17:02
Откуда: חיפה

Сообщение tyomitch » 06.06.2007 (Ср) 20:54

Имхо нужнее, чем новые теги из соседнего топика :-)
Изображение


Вернуться в VBStreets.ru

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 24

    TopList  
cron