Avatar
Petr Čech (czubehead):

Ahoj, dělám na webu, kam by měli uživatelé možnost nahrávat své šablony na web. Nápad je takový, že bude na nahrané soubory složka, ve které bude mít každý uživatel svou složku, kam bude moci pomocí webového rozhraní nahrávat soubory. Ale myšlenka, že má uživatel kontrolu nad byť částí reálného souborového systému mě děsí. Existuje nějaký způsob, jak se ubránit útokům?
Jako první mě napadlo vypnutí jakýchkoliv skriptů. Blacklisting je nespolehlivý, takže předpokládám whitelisting obsahu. Ale čeho přesně? Přípony jsou mimo hru, ale četl jsem, že i kontrola hlavičky souboru je nespolehlivá. A to byla ochrana proti obrázkům...
Já potřebuji ochranu proti HTML, JS, CSS, prostě čehokoliv, co patří k webové šabloně.

Odpovědět 21. listopadu 17:50
Why so serious? -Joker
Avatar
Jakub Žák
Člen
Avatar
Jakub Žák:

No otázka je, co přesně se s těmi soubory bude dít a taky jak je chceš "ochránit". Zkus to trochu rozvést.

 
Nahoru Odpovědět 21. listopadu 21:50
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 2 zpráv z 2.