Проблемы безопасности в принятии загрузок изображения
Я люблю HAML, так как это - хороший инструмент для того, чтобы легко записать структурированный HTML, и обычно это - просто радость для использования. Но это очень мало имеет отношение к выбору инструмента на основе объема трафика, который мог бы иметь сайт.
, Если Вы волнуетесь по поводу трафика, необходимо волноваться об использовании кэширования правильно. И затем необходимо применить принципы общей производительности веб-приложения - результат состоит в том, что у Вас будут супер мгновенные ответы на загрузки страницы. Который является тем, в чем действительно нуждается веб-сайт интенсивного трафика.
Несколько представлений, которые показывают, как улучшить производительность веб-сайта, могут быть найдены здесь:
-
Michael Koziarski говорит о Производительности направляющих о Париже 2008 года на направляющих
-
переговоры Jeremy Kemper о Производительности на направляющих на RailsConf ЕС '08
И лучшее место, о котором я знаю изучить, как использовать направляющие, кэширующиеся, правильно:
4 ответа
Некоторые вещи, которые я недавно узнал из видео о веб-безопасности :
- Ядерный вариант - обслуживать весь загруженный контент из отдельного домена, который обслуживает только статический контент - все функции отключены, и ничего важного не сохраняется там.
- Рассмотрение обработки изображений с помощью imagemagick и т. д., чтобы исключить забавные вещи.
- Чтобы увидеть пример того, с чем вы сталкиваетесь, найдите GIFAR, метод, который помещает GIF и Java JAR в один и тот же файл.
UIKit активно не поддерживает KVO. Вам может повезти в том, что некоторые уведомления могут проходить через обычные механизмы, но по большей части вы не должны предполагать, что можете использовать KVO с любым классом UIKit.
Вместо этого вы должны получать свои непрерывные события через связанный UISlider способ действия цели.
Я имею в виду пользователя веб-сервера. Убедитесь, что у него есть разрешения только на чтение из папки, в которой вы работаете, и другие подобные логические вещи.Удаление метаданных? Конечно, почему бы и нет, это довольно вежливо с вашей стороны, но я бы не сходил с ума по этому поводу.
Самый большой риск для вас заключается в том, что злоумышленник попытается загрузить на ваш сервер исполняемый код определенного типа. Если после этого загруженный файл доступен для просмотра в Интернете, злоумышленник может запустить код на вашем сервере. Лучшая защита - сначала сохранить загруженный файл в недоступное для общего просмотра место, попытаться загрузить его как изображение на вашем языке программирования и разрешить его, если его можно успешно проанализировать как изображение. В большинстве случаев люди все равно захотят изменить размер изображения, поэтому на самом деле это не дополнительная работа. После проверки изображения вы можете переместить его в общедоступную область для своего веб-сервера.
Также убедитесь, что у вас есть ограничение на размер загружаемого файла. На большинстве платформ по умолчанию есть какие-то ограничения. Вы же не хотите, чтобы злоумышленник заполнил ваш диск бесконечной загрузкой файлов.
Одна из известных мне уязвимостей - это «бэкдор WMF». WMF - это «метафайл Windows» - графический формат, отображаемый библиотекой Windows GDI. Вот статья в Википедии .
Злоумышленник может выполнить произвольный код на машине пользователя. Это может произойти, когда пользователь просто просматривает файл через браузер, включая, помимо прочего, Internet Explorer. Сообщается, что проблема будет устранена в 2006 году.