Hi Martin,

ja, zumindest am Anfang. Da hast du im Titel von "Dateiupload und Sicherheit" gesprochen, im Beitrag selbst aber nur Maßnahmen für den Dateidownload vorgestellt. Deswegen war ich ja dann auch auf der falschen Fährte und habe gesagt, das hätte nichts mit der Frage zu tun.

Kein Vorwurf. Deshalb sagte ich ja auch "Ich glaubs auch langsam"...

Denke ich auch. Man könnte jetzt anfangen, Angriffsszenarien zu konstruieren: Angenommen, ein manipuliertes JPEG-Bild enthält in einem Freitext-Feld des EXIF-Blocks PHP-Code. Muss nicht viel sein, ein include (auf Verdacht von einem anderen HTTP-Server, könnte ja mal funktionieren) würde schon genügen. Übliche Testmethoden würden diese JPEG-Datei als korrekt durchgehen lassen, sie lässt sich auch mit sämtlichen Programmen anzeigen und bearbeiten.

Gibt es nicht irgendwo so ein Bild zum Download? ich würde es gerne mal testhalber einspeisen, um zu sehen, was dann passiert...

Eindeutig? Weiß ich nicht.
Aber "sehr wahrscheinlich ja".

Bleiben aber immer noch die PDFs. Wie stelle ich sicher, dass ein PDF keinen Schadcode enthält?

Zudem: Reicht es aus, den php-Interpreter für dieses Verzeichnis auszuschalten? Was ist mit dem Perl-Interpreter? Reicht es da aus, die Dateirechte auf 644 zu setzen?

Ed