Вопрос о безопасности разрешения пользователю загружать файлы SWF? (Флешки).
Насколько это безопасно? Что можно закачать в swf?
И если этот загруженный файл будет видеть на сайте только сам закачавший
И в целом, насколько безопасна загрузка файлов через поле "Файл", и как лучше обезопаситься?
#1
9 февраля 2015 в 23:20
#2
9 февраля 2015 в 23:35
Вопрос о безопасности разрешения пользователю загружать файлы SWF? (Флешки).
Если вставлять SWF через iframe то небезопасно. А если загружать как файл то можно SWF и в ZIP запаковать.
И в целом, насколько безопасна загрузка файлов через поле "Файл", и как лучше обезопаситься?
Безопасно на столько насколько это реализовано в CMS.
Никаких зипов.
Суть в следующем: пользователи загружают флешки (флеш-анимация) на сайт — и видят эти запущенные флешки на странице — тоже только они.
Вопрос: насколько безопасно это для сайта? через флешку нельзя залить какую-нибудь гадость на сайт? другие пользователи, кроме тех кто залил флешку не видят эти загруженные флешки.
Флешки заливаются для воспроизведения, поэтому архив — не вариант.
Суть в следующем: пользователи загружают флешки (флеш-анимация) на сайт — и видят эти запущенные флешки на странице — тоже только они.
Вопрос: насколько безопасно это для сайта? через флешку нельзя залить какую-нибудь гадость на сайт? другие пользователи, кроме тех кто залил флешку не видят эти загруженные флешки.
Флешки заливаются для воспроизведения, поэтому архив — не вариант.
Сегодня в 09:11
#4
11 февраля 2015 в 10:20
В теории например swf это контейнер, в нем могут быть очень функциональные скрипты на AS — а вот что будут делать эти скрипты на вашем сервере возникает вопрос… AS — имеет довольно богатый набор функций, я не сильно его хорошо знаю на практике, но я если честно побоялся бы давать грузить без проверки флеш файлы… А вот про FLV — надо уточнить, но если я правильно понимаю то это флеш медиа контейнер — может ли он содержать какой то особенный AS код (я пока не встречал таких), и в теории можно дать пользователям права на его загрузку…
#5
11 февраля 2015 в 10:25
Хм… век живи — век учись, все очевидно, но только заметил, что поле fieldImage — и так дает загрузить swf если не это не запрещено правилами.
#6
11 февраля 2015 в 23:52
kreator, рекомендую к ознакомлению www.slideshare.net/d0znpp/chaos-construcions-2010-sdrf-presentation-onsec
Не обращайте внимания на то, что публикация за 2010г., информация актуальна на сегодняшний день.
Не обращайте внимания на то, что публикация за 2010г., информация актуальна на сегодняшний день.