011
03.04.2007, 22:45 Uhr
Reyx
IT-fetischistischer Wurstsalat mit rostigem Berghorn
(Operator)
|
| Zitat von ~DennisF: |
So wie es derzeit ist, ist es doch bestimmt auch so schon möglich, ein Programm zu schreiben, dass dauerhaft Bilder auf die Seite hochlädt. Das Programm müsste ja nur das Formular beim externen Upload ersetzen.
|
Richtig, aber du prüfst Serverseitig auf Massenuploads und dergleichen, so dass du sie unterbinden kannst!
| Zitat von ~DennisF: |
Naja, aber könnten man denn nicht bei der zweiten Möglichkeit im Programm kontrollieren, ob die Datei auch wirklich ein Bild ist und nur wenn es ein Bild ist hochladen?
|
Und dann schreibt jemand ein anderes Programm, das das nicht prüft, und schon bist du ein offenen Fileserver ... Nein, solche Prüfungen müssen auf JEDEN Fall serverseitig erfolgen!
| Zitat von ~DennisF: |
Und die FTP-Daten kann man ja aus dem Programm doch eigentlich nicht rauskriegen, oder doch?
|
Ich wage zu behaupten, ein geschulter Cracker braucht dafür zwei Mausklicks ... Obwohl, ne, der benutzt die Konsole 
| Zitat von ~DennisF: |
Wobei das doch bisschen unsicher ist.
|
str_replace($quoteOfDennisF, 'bisschen', 'gewaltig');
| Zitat von ~DennisF: |
Aber bei der ersten Möglichkeit sehe ich keine zusätzliche Sicherheitslücke, da wie schon gesagt, das Programm ja nur das Formular ersetzen soll.
|
Es kommt auf die Implementierung an; ich wage zu bezweifeln, dass das so ohne Weiteres machbar ist ... Aber wenn du es hin kriegst, ist ja gut 
Ist schließlich dein Server  |
