Hi,
könnte man wohl

und


In die Liste der erlaubten Dateierweiterungen beim Upload aufnehmen?

Ich benutze diese Endungen oft als Konfigurations-Datei bei meinen Programmen und es wäre schön, wenn man diese auch (als Beispiel) hochladen könnte.

Mal abgesehen davon dass eine Einschränkung von Dateiformaten in einem Forum, in dem .exe erlaubt ist, generell zu hinterfragen ist - von Archiven hast du noch nix gehört oder?

Und woher hast du Firefox 5.0?

Regan hat folgendes geschrieben:

Und woher hast du Firefox 5.0?

OUCH...tippfehler lässt grüssen!!

@exe: Auf einem Linux-OS dürfte das so ziemlich egal sein. Bei der Whitelist geht es hauptsächlich darum das keine Skripte hochgeladen werden können und so der Server gehackt werden kann. Man könnte auch eine Blacklist machen, allerdings ist die unsicherer, denn wenn auf einmal der Server mehr ausführen kann (zum beispiel durhc Serverumzug Ruby interpretieren kann), gibts auf einmal ein Loch, an das keiner gedacht hat.

@ini & cfg: Ich denke packen dürfte inzwischen nimmer das Prob sein. XP kann es ja von sich aus...

Auf einem Linux-OS muss man aber scripten auch erstmal die rechte geben, damit sie schaden verursachen können. Das lass ich als Begründung nicht gelten ich bleib dabei: wo .exe und .zip erlaubt ist, da macht eine Beschränkung wenig Sinn.

Tilman hat folgendes geschrieben:

Auf einem Linux-OS muss man aber scripten auch erstmal die rechte geben, damit sie schaden verursachen können. Das lass ich als Begründung nicht gelten ich bleib dabei: wo .exe und .zip erlaubt ist, da macht eine Beschränkung wenig Sinn.

Doch, macht sie. Die Whitelist ist primaer dazu da, den Server abzusichern. Deiner Meinung nach muesste man also auch PHP- oder HTML-Dateien erlauben, was fatale Folgen haben kann (Remote-Code-Execution und Cross-Site-Scripting lassen gruessen).
Schliesslich kann jeder User selbst ueberlegen, ob er etwas ausfuehrt oder nicht, und eine exe, die auf dem Server lagert wird nicht automatisch ausgefuehrt. Dem Server kann man sowas aber nur durch Beschraenkungen (i.e. White- oder Blacklisting) beibringen. Und da ist Whitelisting definitiv die sichere, wenn auch teilweise aufwaendigere Alternative.

Greetz
alcaeus

Heiko hat folgendes geschrieben:

@ini & cfg: Ich denke packen dürfte inzwischen nimmer das Prob sein. XP kann es ja von sich aus...

Ich packe aber nicht eine 1kb grosse datei, dass ist sinnlos!

alcaeus hat folgendes geschrieben:

Doch, macht sie. Die Whitelist ist primaer dazu da, den Server abzusichern. Deiner Meinung nach muesste man also auch PHP- oder HTML-Dateien erlauben, was fatale Folgen haben kann (Remote-Code-Execution und Cross-Site-Scripting lassen gruessen).

Nana, dem Server kann man sehr wohl verklickern dass er PHP dateien nicht auszführen hat, dazu genügt es die Verzeichnissrechet entsprechend zu setzen. Abgesehen davon kann man dateien auch als ID speichern, und dann in der Datenbank ID, USER_ID, FILENAME ablegen. Ich vermute dass es hier nicht viel anders läuft, und schon hat man kein Problem mehr.

Nene, das geht auch ohne DB (auch wenns über eine läuft wegen Berechtigung). Einfach den Dateinamen Hashen. Allerdings: würde es dir gefallen wenn jeder mögliche "dreck" hochgeladen werden kann? Dann fängt einer noch an RAW, DocX, ...-Dateien etc. hochzuladen die nur wenige öffnen können. Da ist es besser den Uploader dazu zu zwingen die Datei besser zu exportieren. Würde z.B. RAW erlaubt sein würde ich es einfach hochladen um den anderen zu zeigen (ich nat. nicht ) mit dem Ergebnis das 1% die nur öffnen kann. Wenn das nicht erlaubt ist habe ich zwei Möglichkeiten. Entweder packe ich es oder ich konvertiere es zu jpg. Was wird man eher machen? Na klar jpg . Von daher finde ich eine Begrenzung schon sinnvoll, auch wenn es nicht unbedingt Sicherheitsvorteile bringt.

Grüße
Heiko

Aber für ein Programm ist raw und jpg nicht das gleiche!

Heiko hat folgendes geschrieben:

Dateinamen Hashen. Allerdings: würde es dir gefallen wenn jeder mögliche "dreck" hochgeladen werden kann? Dann fängt einer noch an RAW, DocX, ...-Dateien etc. hochzuladen die nur wenige öffnen können.

Und wenn er ein Programm zum Auslesen von Raw-Dateien online stellt und die Raw-Datei ein Beispiel ist? Oder es handelt sich um eine Beispieldatei zur Reproduzierung eines Fehlers? Oder jemand schreibt ein Programm zum Auslesen von OOXML (docx und co.), und jemand anderes möchte anmerken, dass er ein Dokument hat, bei dem ein Fehler auftritt und hängt es gleich an? Tut mir leid, aber dieses Argument ist kurzsichtig.
Wenn jemand Nischenformate hochlädt, merkt er recht schnell, dass er einen Fehler gemacht hat, denn niemand wird ihm helfen (können).