|
| |
|
|
| |
для: Loki
(20.05.2006 в 00:04)
| | | Тут вроде рассматривают случай, когда изображение находится на другом сервере.
Лично я говорил про картинку, сохраненную на хосте. А если просто ссылка, то там, конечно, можно сделать что-нибудь не очень хорошее... | |
| |
|
|
| |
|
|
| |
для: Loki
(20.05.2006 в 00:04)
| | | Тогда нельзя ставить прямые ссылки на файлы. Например [img]http://example.com/remote_img.png[/img] не должно превращаться в <img src="http://example.com/remote_img.png"/>, а должно быть предварительно загружено на сервер, проанализированно и выведено в браузер как <img src="temp/img1148070532.png"/>. В таком случае разумно поставить ограничение на размер зугружаемых файлов. Размер можно получить, отослав заголовок HEAD на удалённый сервер. | |
| |
|
|
| |
|
|
| |
для: Саня
(19.05.2006 в 23:15)
| | | это если изображение сохраняется на хосте. Тут вроде рассматривают случай, когда изображение находится на другом сервере. | |
| |
|
|
| |
|
|
| |
для: HerSystem
(19.05.2006 в 23:01)
| | | Можно проверить расширение, MIME-тип и размеры изображения. Понятное дело, что при подделке MIME и расширения, размеры просто не смогут вычислиться.
Ещё вариант: при помощи GDlib создать новое изображение с размерами загруженного и скопировать в новое изобр. старое при помощи функции imagecopy(). Затем сохранить новую картинку в файловой системе. Эта картинка будет на 100% картинка. Без лишних "довесков". Правда GIF, если он анимированный, потеряет всю анимацию. Останется только первый кадр.
Комбинирование этих двух методов позволит полностью обезопасить изображение. | |
| |
|
|
| |
автор: Никозa (19.05.2006 в 23:10) |
|
| |
для: HerSystem
(19.05.2006 в 23:01)
| | | Вздор!!! | |
| |
|
|
| |
|
|
| |
для: Саня
(19.05.2006 в 22:31)
| | | Так на чём мы остановились? Может есть функция, чтобы php скрипт както проверял картинку? Ведь даже существуют специальные хосты для картинок(http://imageshack.us/) ониже не боятся ничего. | |
| |
|
|
| |
|
|
| |
для: Киналь
(19.05.2006 в 18:08)
| | | В самой картинке теоретически и может что-то быть, но не более чем какие-то споры вируса...Ничего страшного быть не может...
Зря вы так:
Обновление системы безопасности для ОС Windows XP (KB912919)
Краткое описание
В модуле обработки графики обнаружена проблема безопасности, связанная с удаленным выполнением программного кода, позволяющая злоумышленнику удаленно нарушить защиту компьютера с операционной системой Windows и получить возможность управления им.
|
http://www.microsoft.com/downloads/...DisplayLang=ru | |
| |
|
|
| |
|
|
| |
для: Alexx
(19.05.2006 в 17:38)
| | | Да можно будет украсть cookie. | |
| |
|
|
| |
|
|
| |
для: Киналь
(19.05.2006 в 18:06)
| | | Вот ссылка. | |
| |
|
|
| |
|
|
| |
для: HerSystem
(19.05.2006 в 14:18)
| | | Описанное подходит под классический случай уязвимости перед XSS, или межсайтовым скриптингом. Принцип прост - всякий посетитель форума неизбежно загружает себе на машину этот самый аватар; т.е. вот оно проникновение к пользователю. Дальше зависит от фантазии=) Самое простое - сбор статистики, чуть сложнее - кража кукисов или сессии. Защиты, насколько я знаю, нет.
ЗЫ Видел статью по этому поводу; если найду - дам ссылку. | |
| |
|
|
|
