nicht angemeldet
Upload Gefahren
Hallo erst mal ;-)
Mich interessiert zur die Frage:
Wie kann ich einen Uploadvorgang besser kontrollieren ?
Klar ich kann bestimmen welches Dateiformat, welche
Grösse usw.
Aber bevor das passiert wird doch die
Datei in jedem Fall temporär auf dem Server gespeichert.
Also kann ich nicht verhindern, dass zumindest zuerst
mal Riesendateien oder sonstiger müll auf dem Server
landet auch wenn es danach automatisch gelöscht wird.
Das lässt zumindest in der Theorie eine Menge an
Schabernack möglichkeiten offen.
Weiss Jemand Rat und Erfahrungswerte mit möglichen
Problemen, worauf ich achten sollte ?
Gruss Nikki
-
Damit musst du dich abfinden, dass es so läuft.
Schabernack kann man (meines Wissens) nicht damit machen und wenn jemand denkt, er muß zig MB hochladen, bevor es abgelehnt wird, ist es ja sein Vergnügen.
Martin
-
Hallo
Ein Problem vom Daten hochladen ist das dir jemand eine bösartige software auf deinen Server laden kann und ihn damit stören, manipulieren oder gar ganz in seine Gewalt bringen kann!
VORSICHT bei solchen dingen!Gruß DA FREAK
-
Nachträglich:
Um solche Dinge zu verhindern kannst du einschränken was hochgeladen werden darf und du musst die Berrechtigungen richtig verteilen - dass ,selbts wenn eine software hochgeladen wurde, sie von niemandem ausser dem root ausgeführt werden kann!-
Ups,
besteht die Gefahr auch in dem Temp-Verzeichnis? Sorry, dann habe ich Müll erzählt. War mir nicht bekannt.
Martin
-
Hi,
na grundsätzlich kann auch eine Datei in einem Temp Verzeichnis ausgeführt werden. Aber das hochladen ist erstmal nur ein Weg sie dorthin zu bringen. Du brauchst dann schon noch eine ordentliches Scheunentor um sie auch auszuführen.
Gruss
Marko
Ups,
besteht die Gefahr auch in dem Temp-Verzeichnis? Sorry, dann habe ich Müll erzählt. War mir nicht bekannt.
Martin
-
-
sie von niemandem ausser dem root ausgeführt werden kann!
Danke für den Hinweis,
aber wie mache ich das ?Gruss Nikki
-
-
Hallo
da ich nicht annehme, dass du das Temp-Verzeichnis under dem Doc-Root des www-Servers hast kann das Teil sowieso nicht "von aussen" ausgeführt werden.
Im übrigen gibt es bei PHP Einstellungen, die die Dateigrösse bei Uploads begrenzen. Bin aber nicht 100%ig sicher, ob während dem Upload abgebrochen wird, oder ob das File einfach gelöscht wird - was ja eigentlich aufs gleiche rausläuft.
Das ganze würde ich nicht als gefährlich einstufen. Auf jeden Fall nicht dann, wenn der Server einigermassen sinnvoll konfiguriert ist.
mfg
Michael -
Moin!
Ein Problem vom Daten hochladen ist das dir jemand eine bösartige software auf deinen Server laden kann und ihn damit stören, manipulieren oder gar ganz in seine Gewalt bringen kann!
Dabei ist das "kann" zu betonen. Das wird nämlich nur dann der Fall sein, wenn er entsprechende Hintertürchen und Sicherheitslücken ausnutzen kann. Natürlich müßte man dann wissen, ob die eingesetzte PHP-Version - und alle anderen Komponenten - von solchen Lücken frei sind. Leider haben einige PHP-Versionen Fehler in der Upload-Funktion drin und eröffnen so die Möglichkeit für Angriffe. Das ist dann aber nicht das Problem von extrem großen Dateien, sondern besteht grundsätzlich! Der von den PHP-Programmierern vorgeschlagene Weg der Abhilfe: 1.) Update auf die aktuelle, fehlerbereinigte Version (derzeit gibts 4.3.1) 2.) Wenn ein Update nicht möglich ist: Abschalten der Upload-Möglichkeit. Das ist rigoros, läßt den Server für viele Dinge auch nutzlos werden, aber funktioniert auch.
VORSICHT bei solchen dingen!
Wie ernst muß man das nehmen, wenn ein unbekannter "DA FREAK" über Sicherheitsmaßnahmen in PHP-Umgebungen berichtet, aber das einzige, was er schreibt, als Allgemeinplatz und diffuses Panikmachen erscheint?
- Sven Rautenberg
--
Signatur oder nicht Signatur - das ist hier die Frage!-
Wie ernst muß man das nehmen, wenn ein unbekannter "DA FREAK" über Sicherheitsmaßnahmen in PHP-Umgebungen berichtet, aber das einzige, was er schreibt, als Allgemeinplatz und diffuses Panikmachen erscheint?
- Sven Rautenberg
Hallo Sven!
Also ich wollte nur darauf hinweisen das man es ausnützen könnte und das es auch nicht ganz ungefährlich sein kann - wenn du das als diffuses Panikmachen verstehst dann hab ich es entweder falsch formuliert oder du hast meine worte falsch intepretiert!
Vorsicht ist besser als Nachsicht!Also dann schönen Tach noch
DAFREAK
-
-
-