Skocz do zawartości

Limitacja rozszerzeń załączników


Uriziel01

Rekomendowane odpowiedzi

Witam serdecznie.

 

Chyba nie do końca rozumiem tę sztuczną limitację do rozszerzenia .txt, spora część wygenerowanych logów to pliki .log (Jak to na logi przystało) i w umożliwieniu upload'u tychże nie mogę się dopatrzyć żadnego ryzyka manipulacji danymi lub egzekucji jakiegokolwiek szkodliwego kodu, jeżeli już na prawdę chcieć się uprzeć przy 100% bezpieczeństwie wystarczy dodać do waszego .htaccess'a wpis ustawiający nagłówek tekstowy dla wszystkich plików .log, pomijając już nawet możliwość automatycznego wysyłania plików .log jako .txt przez drobną edycję klasy załączników ale to w takim przypadku porywanie się z motyką na słońce.

 

Zmuszanie użytkowników do ręcznej zmiany rozszerzeń do .txt niczego tutaj nie wprowadza, bo nie wpływa ani na jakość świadczonej usługi ani tym bardziej na poziom bezpieczeństwa rozumianego ogólnie (w jakimkolwiek aspekcie).

 

Chyba że kryją się tutaj jeszcze jakieś inne kwestię których nie dane mi było poznać w czasie (bardzo krótkim poniekąd) pobytu na forum ?

 

Pozdrawiam, -Paweł.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Chyba nie do końca rozumiem tę sztuczną limitację do rozszerzenia .txt, spora część wygenerowanych logów to pliki .log (Jak to na logi przystało) i w umożliwieniu upload'u tychże nie mogę się dopatrzyć żadnego ryzyka manipulacji danymi lub egzekucji jakiegokolwiek szkodliwego kodu

 

Tylko logi z przetwarzania skryptu OTL są w formacie LOG, a że logi zwykle są krótkie, w domyśle jest ich wklejanie wprost do posta a nie jako Załącznik. Wszystkie pozostałe to TXT, nawet GMER, gdyż w instrukcjach wyraźnie mówię o użyciu opcji Kopiuj a nie bezpośredniego zapisu.

 

Powody limitacji: nie chcę otrzymywać tu określonych logów z określonych aplikacji w Załącznikach, m.in. HijackThis. Lekkie utrudnienie dla opornych nie szkodzi. Poza tym, są aż dwa miejsca na forum, gdzie jest napisane wyraźnie jaki format dopuszczam, a kto tego nie widzi i się dziwi = nie raczył przeczytać. Piję tu do innych użytkowników, nie Ciebie.

 

 

Zmuszanie użytkowników do ręcznej zmiany rozszerzeń do .txt niczego tutaj nie wprowadza, bo nie wpływa ani na jakość świadczonej usługi ani tym bardziej na poziom bezpieczeństwa rozumianego ogólnie (w jakimkolwiek aspekcie).

 

Tak jak zabronione formaty w rodzaju REG czy EVT/EVTX nagminnie tu występujące.

 

 

Ba, ja obmyślam jak tu w ogóle ukrócić Załączniki i przekierować logi na bazę danych, upostaciowując całość jako system para-wklejkowy, bo plików na serwerze przybywa w zastraszającym tempie i wykonywanie pełnej kopii systemu plików staje się coraz dłuższe, a użytkownicy też robią świństwa usuwając za moimi plecami Załączniki, prowadząc do zupełnego braku logiki w temacie (cytaty z powietrza) i odtwarzanie tego z kopii jest równie uciążliwe. Ale szkopuł w bazie, głównej nie chcę zapychać nową tabelą, bo się spasie zbyt szybko takimi materiałami, a równorzędna baza na tym samym serwerze jest wykluczona ze względu na cechy pakietu hostingowego. Można owszem zrobić drugą bazę na jednym z moich alternatywnych serwerów od tej samej firmy, ale to jest związane z pewnymi uciążliwościami technicznymi, choć do zrobienia. Ten system dual-bazy mam w planach i prędzej czy później coś wykombinuję.

 

 

 

.

Odnośnik do komentarza

Piję tu do innych użytkowników, nie Ciebie.

Spokojnie, byłem bardzo daleki od takiego stwierdzenia.

 

Tak jak zabronione formaty w rodzaju REG czy EVT/EVTX nagminnie tu występujące.

No ale jednak przyznaj że to jest zupełnie inna para kaloszy, zapewne tylko nieliczni użytkownicy mają podpięte w systemie akcję pod rozszerzenie *.log, już nie wspomnę że z pewnością nie jest to coś co mogło by go interpretować jako jakikolwiek kod wykonywalny (Może nie 100% ale powiedzmy że prawię zawsze). W przypadku *.reg jednak jest zdecydowanie inaczej, każda domyślna konfiguracja powoduje że ściągnięcie takiego pliku i dwuklik na nim jest może być potencjalnie niebezpieczny.

 

Ba, ja obmyślam jak tu w ogóle ukrócić Załączniki i przekierować logi na bazę danych, upostaciowując całość jako system para-wklejkowy

 

Powiem ci że stosujemy u nas takie coś, jednak przy odpowiedniej wielkości bazy (U nas był to moment przekroczenia bodajże 15GB) ten mechanizm potrzebuje wsparcia przez jakieś indeksy geometryczne lub środki pośrednie pokroju Sphinx'a dla zwiększenia wydajności wyszukiwania. jedynie zrzut kopii zapasowej jest prostszy gdyż można to przekazać do cron'a w wygodnych paczkach bo takie dane jest stosunkowo łatwo dzielić. U nas dodanie kolejno spatial indeksów oraz użycie Sphinxa podniosło wydajność o jakieś 10-15x ponadto ograniczyło znacznie obciążenie serwera, co zapewne także stanie się (jeżeli jeszcze to nie nastąpiło) bolączką Twojego hostingu.

 

 

A tak przy okazji to przecież można by wszystkie załączniki serwować jako .txt, jeżeli ktoś będzie na tyle głupi (no przykro mi ale jak to nazwać) aby taki załącznik pobrać zmienić jego rozszerzenie na (dajmy na to) .reg a następnie go uruchomi do interpretacji, no to jest swojej szkodzie w 100% winien. Nie sądzę aby dało się ochronić użytkownika przed jego własną głupotą.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...