Anzeige

Böse Datei / Gute Datei

Böse Datei / Gute Datei | PSD-Tutorials.de

Erstellt von netbandit, 31.10.2008.

  1. netbandit

    netbandit Aktives Mitglied

    12
    Dabei seit:
    18.05.2008
    Beiträge:
    1.145
    Geschlecht:
    männlich
    Böse Datei / Gute Datei
    Hallo,

    ich bin gerade dabei ein Uploadscript zu schreiben. Sonst wurde immer klar definiert, welche Typen von Dateien erlaubt sind (Bilder/Archive/Filme/etc). Diesmal soll allerdings so ziemlich alles erlaubt sein. :uhm:

    Problem dabei ist, daß es auch Dateien gibt, mit denen man eine Menge Blödsinn machen kann (*.php, .htaccess, usw.). Kennt einer von euch zufällig eine Liste in denen böse/gute Dateien aufgeführt sind? Ich muss irgendwie die Sicherheitsrisiken minimieren. Die Dateien die auf dem Server ausgeführt werden können, würde ich dann zusätzlich im Vorfeld "herausfiltern", und ggf. eine Benachrichtigung versenden.

    Oder mal so grundsätzlich gefragt; wie würdet ihr das Ganze angehen?

    Danke :)
     
    Zuletzt bearbeitet: 31.10.2008
    #1      
  2. Oehmy

    Oehmy Nicht mehr ganz neu hier

    Dabei seit:
    14.01.2008
    Beiträge:
    205
    Geschlecht:
    männlich
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Ich würde festlegen, welche Dateitypen hochgeladen werden dürfen ;)

    und außerdem würde ich dem Verzeichnis den Status geben, das Datei nicht ausgeführt werden können.
     
    #2      
  3. netbandit

    netbandit Aktives Mitglied

    12
    Dabei seit:
    18.05.2008
    Beiträge:
    1.145
    Geschlecht:
    männlich
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Danke schonmal
    Da fallen mir spontan schon eine ganze Menge ein;
    gif, png, jpg, jpeg, doc, pps, swf, txt, htm, html, rar, zip, css, js, xml, xls, mp3, ppt, etc. und sicherlich noch viel mehr.

    Wie stelle ich das an? :uhm:

    Folgende Überlegung wäre noch, bis auf wenige Ausnahmen (Bilder/Html) zu komprimieren, dann hätte ich nur noch Zipdateien auf dem Server, macht das Sinn?
     
    #3      
  4. Mu3ck3

    Mu3ck3 Nicht mehr ganz neu hier

    Dabei seit:
    28.02.2008
    Beiträge:
    146
    Geschlecht:
    männlich
    Ort:
    Hinterm Mond gleich Links
    Software:
    Paint.NET
    Kameratyp:
    Canon Ixus 850
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Zip Archive sind halt sicherer als wenn einer eine Script datei hochläd ;)
     
    #4      
  5. saila

    saila Moderatorle

    Dabei seit:
    21.06.2006
    Beiträge:
    2.239
    Geschlecht:
    männlich
    Ort:
    50°48'23.69" N 7°14'22.19" O
    Software:
    Eclipse, PHP5 OO, MySQL5, CSS(auch Barrierefrei), JS, Symfony
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Was verstehst du unter Sicherheitsrisiken? Man kann bereits in jpeg's schlechten Code einbinden.

    Für welchen Zweck muss man nahezu alle Dateiformate zulassen?

    Werden die Dateien später im Netz wieder angeboten oder ist das ein reines hin und her schieben von Dateien?
     
    #5      
  6. netbandit

    netbandit Aktives Mitglied

    12
    Dabei seit:
    18.05.2008
    Beiträge:
    1.145
    Geschlecht:
    männlich
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Eigentlich nur die Dateien, die dem Server schaden könnten oder mit deren Hilfe man die Kontrolle über diesen erhält. Die Rechner der Anwender interessieren mich eigentlich weniger.

    So wohl als auch, beides. ;)

    Edit: Also ich bin nicht auf der Suche nach einem fertigen Script oder so. Schreiben werde ich schon selbst. Mir geht es nur darum, wie ich das Ganze angehe, in welche Richtung. Fest steht nur, daß es mit einem Formular und PHP umgesetzt wird. Die Überprüfung ist also noch offen
     
    Zuletzt bearbeitet: 31.10.2008
    #6      
  7. Top_Gun

    Top_Gun Aktives Mitglied

    Dabei seit:
    24.07.2008
    Beiträge:
    965
    Geschlecht:
    männlich
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Was für eine tolle Einstellung... ich werde nie deine Seite besuchen...
     
    #7      
  8. Duddle

    Duddle Posting-Frequenz: 14µHz

    Dabei seit:
    03.02.2006
    Beiträge:
    3.864
    Geschlecht:
    männlich
    Ort:
    Dresden
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Ich kann dir eigentlich nur sagen, dass du hier prinzipiell keine eigenständigen Annahmen machen solltest. Heisst im Klartext: selbst wenn du dich jahrelang mit sicherheitsrelevanten Themen beschäftigst, geh nie davon aus zu wissen wo ein Angreifer ansetzt. Das gilt dann insbesondere, wenn du nicht viel Ahnung vom Thema hast.

    Leg also fest, dass grundsätzlich alles verboten ist, ausser x, y und z.
    Andersrum (alles erlauben, ausser a, b, c) wäre es sehr schlecht.

    Soll das am Ende sowas wie Rapidshare werden? Ein User lädt sein Zeug hoch, kann das verwalten und andere dürfen es herunterladen?
    Dann wäre ein Ansatz, jede Datei in Nutzerverzeichnissen exklusiv als Download zu übertragen (sollte ja mit Header-Informationen gehen), also keinen direkten Zugriff zu erlauben.


    Duddle
     
    #8      
  9. saila

    saila Moderatorle

    Dabei seit:
    21.06.2006
    Beiträge:
    2.239
    Geschlecht:
    männlich
    Ort:
    50°48'23.69" N 7°14'22.19" O
    Software:
    Eclipse, PHP5 OO, MySQL5, CSS(auch Barrierefrei), JS, Symfony
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Wäre es mal möglich, das du deine persönlichen Ansichten und Meinung etwas zurücknehmen könntest? Das ist doch deine Sache, wenn du die Seite von netbandit nicht besuchen möchtest und ehrlich gesagt dürfte uns das eigentl. wurscht sein ob oder ob nicht und ob die oder jene Einstellung.


    Zum Thema:

    Wenn du (netbandit) einen Dateiupload nahezu aller möglichen Dateiformate erlauben möchtest, dann wirst du wohl mit dem sogenannten Restrisiko der Dateien mit schlechtem Code leben müssen. Ein Schutz gibt es lediglich insoweit, das auf dieses Verzeichnis nicht direkt zugegriffen werden kann - lediglich zum Download freigegeben wird.
    Abgesehen von .htaccess wäre somit jegliches Dateiformat erlaubt. Genannte datei logischerweise nicht, da diese Dateien ja direkten Einfluss auf den Server nehmen können - ausgenommen du benennst diese Dateien zur Lagerung im Verzeichnis um und gibst sie wieder mit korrekter Dateibezeichnung zum Download frei - was du übrigens mit einigen Dateiformaten tun kannst. Sprich - hinter jede Datei hängst du ein .txt an. Würde etwa so aussehen:

    Ursprünglicher Dateiname:
    datei.exe

    Geändert:
    datei.exe.txt

    (ungetestet!)

    Den Rest hat Duddle bereits genannt.
     
    #9      
  10. netbandit

    netbandit Aktives Mitglied

    12
    Dabei seit:
    18.05.2008
    Beiträge:
    1.145
    Geschlecht:
    männlich
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Vom Prinzip her schon so in der Art.

    Dann käme aber auch wieder readfile & Co zum Einsatz, was dann den Server zusätzlich belastet.

    Wie findest Du die Idee mit dem komprimieren, also die Dateien nur als zip anbieten?

    @Top_Gun: So war das nun auch wieder nicht gemeint. Ich denke hochgeladene Dateien auf Viren zu überprüfen, ist ein anderes Thema und sicherlich auch viel komplexer. ;)
     
    #10      
  11. Top_Gun

    Top_Gun Aktives Mitglied

    Dabei seit:
    24.07.2008
    Beiträge:
    965
    Geschlecht:
    männlich
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Och ich könnte dir jetzt auch so einige Beiträge von dir nennen, bei denen du mit deiner Meinung hausieren gehst... Wenn du dich über mich oder mein Post aufregen willst, tu das.

    Nun ich verlange ja keine 100% Sicherheit von dir, aber zu sagen das dich nicht interessiert was ich mir einfange oder kaputt mache auf deiner Seite ist vielleicht die falsche Einstellung. Und auch gegen andere Meinungen glaube ich dir das deutlich gemacht zu haben ;)
     
    #11      
  12. netbandit

    netbandit Aktives Mitglied

    12
    Dabei seit:
    18.05.2008
    Beiträge:
    1.145
    Geschlecht:
    männlich
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Wie schon geschrieben, das ist ein anderes Thema.
    "weniger interessieren" heisst nicht, dass es mir egal ist :hmpf:

    Wenn es nur nach mir ginge, gäbe es überhaupt keine Uploadmöglichkeit. Aber ich habe in diesem Fall leider nichts zu melden ;)

    Ach ja; ich habe keine Website :D
     
    #12      
  13. saila

    saila Moderatorle

    Dabei seit:
    21.06.2006
    Beiträge:
    2.239
    Geschlecht:
    männlich
    Ort:
    50°48'23.69" N 7°14'22.19" O
    Software:
    Eclipse, PHP5 OO, MySQL5, CSS(auch Barrierefrei), JS, Symfony
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Mal abgesehen davon, dass du in keinster Weise etwas deutlich gemacht hast, gehst selbst du von einer Sicherheit aus, welche es im Grunde nicht gibt/geben kann und auch nur in Teilen eingeschränkt werden kann/wird. Darin steckt insbesondere die Tatsache, das die Schutzmechanismen der Schädlingserzeugung hinterher laufen und nicht voraus!
     
    #13      
  14. netbandit

    netbandit Aktives Mitglied

    12
    Dabei seit:
    18.05.2008
    Beiträge:
    1.145
    Geschlecht:
    männlich
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Eine Frage noch (bzw. wieder), angenommen ich nehme die "Zip-Methode"; können Dateien Schaden noch vor dem Komprimieren, also nach dem Upload, anrichten? Die werden ja erst temporär gespeichert :uhm:
     
    Zuletzt bearbeitet: 31.10.2008
    #14      
  15. CIX88

    CIX88 Aktives Mitglied

    Dabei seit:
    06.04.2006
    Beiträge:
    814
    Geschlecht:
    männlich
    Ort:
    GR
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    @netbandit
    Habe mir jetzt nicht alle Beiträge durchgelesen, aber ich denke solange man die ZIP-Datein nicht entpackt werden, sollte da nichts passieren.
    Ich würde allerdings beim Upload auf bestimmte Dateien verzichten.
    Zusätzlich würde ICH auch die ZIP-Dateien prüfen, ob es wirklich eine ZIP ist.
    Müsste man halt sehen, für wem dein Upload gedacht ist, wer die Benutzer sind etc...
     
    #15      
  16. blackout

    blackout Schaf im Wolfspelz

    Dabei seit:
    12.09.2005
    Beiträge:
    3.359
    Geschlecht:
    männlich
    Ort:
    Würzburg
    Kameratyp:
    Rollei 35 S
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Wenn du irgendwas beim Upload ausschließen willst, lass den Upload sein. Man kann in jeden Müll noch mehr Müll packen, das geht bei primitivsten Dingen wie Dateiendungsänderung los, und geht dann über Dateifusionen bis zur Steganographie. Wenn dir jemand Kinderpornos hochladen will, dann macht er das auch - und das ist bei kostenlosen Upload-Anbietern bei weitem nicht an den Haaren herbeigezogen.
     
    #16      
  17. netbandit

    netbandit Aktives Mitglied

    12
    Dabei seit:
    18.05.2008
    Beiträge:
    1.145
    Geschlecht:
    männlich
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Also es ist schon ein ausgewählter Kreis an Personen die hochladen dürfen, nur eine "Handvoll" und die Leute sind auch alle namentlich bekannt. Sorgen machen mir da eigentlich nur die "Tüftler", die versuchen z.B. eigene (schlecht geschriebene) Scripte mit einzubringen, Verzeichnissen auszulesen oder Umleitungen einzubauen. Schmuddelzeug und Viren werden da wohl weniger das Problem sein.

    Ich schätze mal ich werde es dann mit Zip-Dateien lösen. Soll ich darauf bestehen, dass nur Zip-Dateien hochgeladen werden können, oder soll ich den Usern das Komprimieren per Script abnehmen? Letzteres ist wohl Anwenderfreundlicher.

    Danke :)
     
    #17      
  18. blackout

    blackout Schaf im Wolfspelz

    Dabei seit:
    12.09.2005
    Beiträge:
    3.359
    Geschlecht:
    männlich
    Ort:
    Würzburg
    Kameratyp:
    Rollei 35 S
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Prüf halt, ob's schon ein ZIP ist, ansonsten komprimier es eigenständig. Bei großen Dateien kann letzteres den Server aber ordentlich belasten, wähl die komprimierung also ordentlich schwach ;)
     
    #18      
  19. CIX88

    CIX88 Aktives Mitglied

    Dabei seit:
    06.04.2006
    Beiträge:
    814
    Geschlecht:
    männlich
    Ort:
    GR
    Böse Datei / Gute Datei
    AW: Böse Datei / Gute Datei

    Man könnte es ja auf dem Server noch als GZIP ablegen ...
     
    #19      
x
×
×
teststefan