nicht angemeldet
Moin Moin !
- Weiß vielleicht auch jemand wie ich Bilder oder so komprimiert senden kann?? Das wäre ja interessanter als nur HTML-Code.
Genauso wie HTML-Daten. Bild laden, Bild durch gzencode jagen, Bild mit passenden HTTP-Headern senden.
Kannst du das mal etwas genauer sagen? Also, Ich habe ja Bilder in einer Webseite eingebunden.
1. PHP-Script schreiben, das eine Bild-Datei als String öffnet, durch gzencode schickt und anschließend mit passenden HTTP-Headern ausgibt. Beispiele gibt's in den Kommentaren zur PHP-Doku.
2. Ggf. URLs so anpassen, daß die Bilder durch gzip laufen:
<img src="/images/bild.gif" ...> wird zu <img src="/php/gzipcompress.php?path=/images/bild.gif"> oder schlicht <img src="/php/gzipcompress.php/images/bild.gif">. Die erste Variante ermittelt die Bilddatei aus dem URL-Parameter "path", die zweite über die Environment-Variable PATH_INFO und/oder PATH_TRANSLATED.
Gefährliche Falle: Wenn Du "path" / PATH_INFO / PATH_TRANSLATED nicht sehr scharf und sehr restriktiv überprüfst, kann man u.u. den gesamten für PHP sichtbaren Server (bei einem Nicht-CHROOT-Webserver also wirklich die gesamte Maschine bis auf wenige nur für root lesbare Dateien) über das WWW auslesen.
PATH_TRANSLATED, kombiniert mit einer Prüfung auf "endet mit .gif oder .jpeg", sollte einige Angriffsmöglichkeiten verhindern.
../../../.. ist nur eine von vielen Fallen.
Lies bitte die GZIP_CNC-Webseite (http://schroepl.net/projekte/gzip_cnc/). Die Warnung dort vor Versionen vor 1.11 hat ihre Gründe, den GZIP_CNC hat in den alten Versionen exakt dieses Problem - es lieferte brav sämtliche CGI-Scripte in Textform aus, damit man sie in aller Ruhe auf weitere Angriffspunkte untersuchen kann. Siehe auch http://schroepl.net/projekte/gzip_cnc/security.htm.
Alexander
Nein, ich beantworte keine Fragen per eMail. Dafür ist das Forum da.
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".