nicht angemeldet
Kontaktformular + Dateianhang
Hallo,
ich stehe vor der Entscheidung, auf meiner Seite im Kontaktformular
einen Dateianhang zur Verfügung zu stellen oder nicht.. und ich wende mich an euch, weil ich mich über die Risiken erkundigen möchte und im internet noch nicht fündig geworden bin...
Ich denke, dass hochgeladene Dateien doch auf dem Webserver abgelegt werden und damit ein Problem verbunden ist weil man doch Viren usw. noch ausgesetzt ist??
Danke für jeden Hinweis.
nino
-
Hast du einen bestimmten Zweck für Dateiuploads im Sinn?
Ich würde die Leute erst mal einfach so Kontakt aufnehmen lassen. Wenn jemand dann unbedingt was schicken will, kann man das dann ja per Mail machen.-
Also eingentlich hatte ich das als Formular für das Schicken von Bewerbungen vorgesehen..
Aus welchem Grund sollte man das denn mit dem Formular besser nicht machen?
...oder gibt es einen "weitestgehed sicheren" Weg, das doch mit Formular zu machen?-
Also eingentlich hatte ich das als Formular für das Schicken von Bewerbungen vorgesehen..
Ich hatte da als erstes die Frage ob das wirklich jemand sinnvoll nutzt. In deinem Fall wärs wirklich was nützliches, also nicht die Privatseite von jemandem der 3 Besucher pro Monat hat und unbedingt alles machbare auf seiner Seite haben muss :-)
Ich würd mich dann wie in den vorigen Tips erwähnt dagegen absichern, dass mir jemand lauter Müll schickt und damit den Server füllt. Am besten lässt du dir ne Mail schicken, sobald eine Datei eingetroffen ist.
Und sonstige Sicherungen wie Captcha oder was es da halt schönes gibt.
-
-
-
Mahlzeit,
Ich denke, dass hochgeladene Dateien doch auf dem Webserver abgelegt werden und damit ein Problem verbunden ist weil man doch Viren usw. noch ausgesetzt ist??
Je nach Library, die dabei eingesetzt wird, wird beim Hochladen eine tmp-Datei geschrieben, z.b. mit PerlModul CGI.pm. Da Webserver meistens auf Linux & Co laufen, ist sowas kein Sicherheitsrisiko, denn die Dateiberechtigungen sind beim upload lt. umask gesetzt, auf jeden Fall nicht ausführbar.
Falls Dir jemand Viren schickt, ist es auch kei Problem, lokal gibts bestimmt einen Virenscanner, der da anschlägt beim Download. Ansonsten lasse die bei Mails übliche Vorsicht walten und erlaube den Anhang bis zu einer gewissen Größe, 1 MB dürfte bei üblichen DSL-Verbindungen kein Timeout des Webservers bringen.
Hotte
-
Hello Nino,
Du solltest auf jeden Fall an eines denken:
Die hochgeladene Datei sollte weder als temporäre Datei noch nachher als abgelegte Datei in den Einflussbereich des Clients geraten, also per HTTP/HTTPS oder weiterer zugelassener Protokolle erreichbar sein.Speziell bei PHP-Upload-Verfahren findet man immer wieder diesen Fehler, dass die Dateien in einem Verzeichnis landen, dass direkt per HTTP in den Ressourcebezeichner aufnehmbar ist.
- Das Ablageverzeichnis sollte außerhalb der Dokument-Root liegen
- Das tmp-Verzeichnis sollte pro Domain getrennt geführt werden
- Files aus dem Ablageverzeichnis sollten nicht geparst werden
Damit hat man dann schon eine relativ hohe Sicherheit erzeugt, dass kein Trojaner ins System geschleust werden konnte, bestenfalls auf die Platte, aber eben nicht ausführbar.
Grüße aus dem Oberharz
Tom vom Berg