Hallo,
ich arbeite derzeit an einem Album Script für die Mitglieder meiner Seite, in dem jeder Bilder von sich hochladen kann.
Ansich habe ich beim Script soweit angepasst, das alle möglichen Abfragen für das Bild existieren - eben nach Viren.
Dennoch kann man dadurch auf keinen Fall sicher sein, dass das hochgeladene Bild wirklich clean ist.
Habe mich dazu also in CHMOD etwas reingelesen, finde mich aber noch nicht so rein. Man müsste, um das Ausführen von Viren zu verhindern, ja die Rechte der Datein ändern.
Meine Frage nun dazu: Wenn ich den hochgeladenen Bildern die Rechte 644 zuweise und dem Ordner 755, müsste ich doch eigentlich auf der sicheren Seite sein .. oder? Ich hab mir nun schon soviele Seiten durchgelesen, so ganz bin ich mir aber nicht sicher.
Gruß umlaut
Frage zum sicheren Bildupload durch CHMOD
-
cYbercOsmOnauT
- Ehemaliges Teammitglied
- Beiträge: 3820
- Registriert: 18.02.2004 23:02
- Wohnort: Göttingen
- Kontaktdaten:
Re: Frage zum sicheren Bildupload durch CHMOD
Hallo Umlaut,
ich kann Dir nicht ganz folgen. Ein Verzeichnisrecht/Dateirecht ändert nichts an der Ausführbarkeit einer Grafik die mit einem Exploit belegt wurde. Denn die Grafik ist weiterhin eine Grafik und erst der Browser beinhaltet den Fehler welches durch einen Exploit ausgenutzt wird um einen Virus/Wurm/Trojaner im System des Betrachters einzupflanzen. Wenn Du Deine Benutzer schützen willst prüfe bei jeder Grafik zuerst das MIME-Type (muss mit image/ beginnen) und danach die Dimensionen der Grafik (Bilder die einen Exploit beinhalten geben da Nullwerte zurück). Wenn Du zudem ganz sicher gehen willst, entferne die EXIF Daten (passiert automatisch wenn man die Grafik resized, denn dann wird schließlich eine neue erzeugt).
Grüße,
Tekin
ich kann Dir nicht ganz folgen. Ein Verzeichnisrecht/Dateirecht ändert nichts an der Ausführbarkeit einer Grafik die mit einem Exploit belegt wurde. Denn die Grafik ist weiterhin eine Grafik und erst der Browser beinhaltet den Fehler welches durch einen Exploit ausgenutzt wird um einen Virus/Wurm/Trojaner im System des Betrachters einzupflanzen. Wenn Du Deine Benutzer schützen willst prüfe bei jeder Grafik zuerst das MIME-Type (muss mit image/ beginnen) und danach die Dimensionen der Grafik (Bilder die einen Exploit beinhalten geben da Nullwerte zurück). Wenn Du zudem ganz sicher gehen willst, entferne die EXIF Daten (passiert automatisch wenn man die Grafik resized, denn dann wird schließlich eine neue erzeugt).
Grüße,
Tekin
• prof. phpbb-Installation, Reparatur, Rettung nach Hackattacken, sowie PHP/JS Programmierung aller Art
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
