Gefahr aus Datei-Anhängen in Postings

saltletts · Beitrag von **saltletts** » 03.09.2008 15:06

Hallo,

Ich wollte mal fragen, welche Gefahr aus Dateianhängen in Forum-Postings (phpBB3) ausgehen kann? (Viren, Trojaner usw.)

Es kann ja im ACP festgelegt werden, welche Dateiendungen erlaubt sind. Natürlich sollte man besonders kritische wie *.php oder andere Scripte gar nicht erst zulassen, soweit schon klar.

Was ist, wenn man es zumindest auf Bildanhänge im JPG Format beschränkt? Erkennt phpBB3, wenn man eine "schädigende" Datei als JPG getarnt hochlädt?

Ich meine, wie soll sich die Moderation oder auch die User (die darauf vertrauen dass die Anhänge in Ordnung sind) vor Missbrauch schützen? Oder kann das mit der Einschränkung von Dateiendungen gar nicht passieren, bin da grade unsicher..

Jan Kaiser ET · Beitrag von **Jan Kaiser ET** » 03.09.2008 15:25

Also eigentlich kann alles gefährden.

Theoretisch könnte man das ganze (soweit ich weiß) auch umgehen.

Eine Datei "virus.exe" (nurmal als Beispiel) könnte man in "virus.jpg" umbenennen, schon wird sie als Bild erkannt.

Ideal wäre ein integrierter Viren-Checker, der die Dateien überprüft.

Ein gewisses Risiko ist da immer da.

Ich würde höchstens die Video-Formate, Bild und Audioformate aktivieren.

EXE schon garnicht und zip, rar, etc auch nicht,
da man in diese ja jedes Format packen kann.

Liebe Grüße
Jan

saltletts · Beitrag von **saltletts** » 03.09.2008 16:22

Jan Kaiser ET hat geschrieben:Also eigentlich kann alles gefährden.

Theoretisch könnte man das ganze (soweit ich weiß) auch umgehen.

Eine Datei "virus.exe" (nurmal als Beispiel) könnte man in "virus.jpg" umbenennen, schon wird sie als Bild erkannt.

Ja, fast befürchtet. Nur, dann bringt das zulassen von Videoformaten ebenfalls nichts, denn auch hier kann sich Malware drin verstecken.

Ideal wäre ein integrierter Viren-Checker, der die Dateien überprüft.

Ich vermute mal da gibts jetzt nichts explizites für das Forumscript?

Jan Kaiser ET · Beitrag von **Jan Kaiser ET** » 03.09.2008 16:33

Nein, soweit ich weiß gibt es da keinen MOD.

Zu der ersten Sache bin ich mir aber nicht 100% sicher.

Ich gehe nurmal von aus,
dass phpBB nach den Dateiendungen geht und sich das ganze so einfach manipulieren lässt.

Selbst wenn man nur ein paar MB zulässt,
der Virus muss ja nicht groß sein.

Dennoch vermute ich das nicht,
denn wenn die EXE Datei sich z.B. als JPEG ausgibt,
dann kann sie nicht ausgeführt werden.
Und wer würde, wenn er denkt es sei ein Video,
eine Datei wie z.B. "virus.mov" runterladen und in ".exe" umbenennen?

Wenn jemand mit einem Video rechnet wird er die Dateiendung doch nicht umbennen

ich würde damit dennoch vorsichtig umgehen.
Ideal wäre, du würdest irgendwo einen Link zu einem Bilder-Hoster angeben, wo man dann die Bilder uploaden kann und der sicher ist.
Dann könnte man darüber Bilder einbinden und die Dateianhänge von phpBB deaktivieren.

Liebe Grüße
Jan

Beitrag von **nickvergessen** » 03.09.2008 16:59

Also ganz so gefährlich ist es nicht!
Gott sei Dank gibt es einen Mime-Type, der beim Hochladen geprüft wird und falsche Bilder dann auch abweist.
Dazu im ACP > Allgemein > Dateianhänge die Option

Dateianhänge prüfen:
Manchen Browsern kann ein fehlerhafter MIME-Typ für hochgeladene Dateien vorgetäuscht werden. Diese Option stellt sicher, dass Dateien, die dieses Verhalten provozieren könnten, abgewiesen werden.

aktivieren.

Beitrag von **bantu** » 03.09.2008 18:03

Die in der Forensoftware verbauten Mechanismen verhindern (soweit möglich) eine direkte Schädigung beim Betrachten (nur Surfen, nicht Download) etwa durch Browserbugs oder ähnlichem (vgl. "Dateianhänge prüfen"-Feature). Ein Virenschutz für das Board macht eigentlich keinen Sinn, da Schadsoftware für Clients in der Regel nur für bestimmte Betriebssysteme compiliert werden können. Der Virenschutz sollte also beim Client sein.

Meiner Meinung nach gibt es keinen Grund die Archiv-Formate nicht zu erlauben. Wer sich ein Archiv herunterlädt, es auspackt und die darin befindliche Schadsoftware ausführt ist selbst schuld.

Theoretisch kann man sogar *.php-Dateien erlauben, da sie vom Board aus Download geschickt werden und nicht ausgeführt werden. Aus Prinzip sollte man dennoch davon absehen.

Zum Thema Sicherheit gibt es in den Videos von London einen eventuell interessanten Vortrag (auf Englisch). Siehe Newsletter-Archiv bzw. meine momentane Signatur.

saltletts · Beitrag von **saltletts** » 03.09.2008 18:14

bantu hat geschrieben:Die in der Forensoftware verbauten Mechanismen verhindern (soweit möglich) eine direkte Schädigung beim Betrachten (nur Surfen, nicht Download)

Ja, aber werden denn "eingebundene" Bilder (also nicht verlinkt) nicht auch zwangsläufig auf den PC geladen (Stichwort: temporäre Internetdateien)?

Beitrag von **redbull254** » 03.09.2008 18:22

saltletts hat geschrieben:
bantu hat geschrieben:Die in der Forensoftware verbauten Mechanismen verhindern (soweit möglich) eine direkte Schädigung beim Betrachten (nur Surfen, nicht Download)
Ja, aber werden denn "eingebundene" Bilder (also nicht verlinkt) nicht auch zwangsläufig auf den PC geladen (Stichwort: temporäre Internetdateien)?

Die hoch geladenen Bilder landen auf dem Webspace (Server), haben also keine Bezug mehr zu Deinem PC. Sonst hättest Du ja jedesmal die Bilder in den Beiträgen gelöscht, wenn Du die temporären Dateien auf Deinem PC löscht.

Oder leerst Du den Ordner nie?

Beitrag von **bantu** » 03.09.2008 18:26

saltletts hat geschrieben:
bantu hat geschrieben:Die in der Forensoftware verbauten Mechanismen verhindern (soweit möglich) eine direkte Schädigung beim Betrachten (nur Surfen, nicht Download)
Ja, aber werden denn "eingebundene" Bilder (also nicht verlinkt) nicht auch zwangsläufig auf den PC geladen (Stichwort: temporäre Internetdateien)?

Ja, aber das gilt nur für Bilder und nur wenn die Anzeige von Bildern bzw. Miniaturansichten aktiviert ist. Deshalb (und wegen bestimmten Browsern) gibt es hier auch die Funktion die Dateianhänge auf MIME-Hacks zu prüfen.

Bei allen anderen Typen muss man die Datei zuerst bewusst herunterladen.