Анимашки и безопасность..

Автор kak2z, 20 сентября 2013, 17:36:27

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

kak2z

Меня мои форумчане давно просят сделать так что бы можно было грузить анимашки.. то есть выключить преобразование не JPG фалов в JPG и отключить естественно экстенсивную проверку.
Я бы давно это сделал, места на хостинге не жалко мне для анимашек... но начитавшись страшилок про то как внедряют через анимашки шеллы - мне не очень хочется это делать..
Мои опасения не беспочвенны?? Можно ли разрешать грузить анимашки с точки зрения безопастности? Или все таки пусть для этого используют внешние хостинги?
Спасибо.
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Serifa

Тоже интересно. У меня есть аватарки анимированные в папке форуме, сама выбирала. А вот насчет загружать участникам?
«- Помощник капитана Бакстер, - заявил Лумис, - безбожно врет. Все отнюдь не под контролем, вернее, не под его контролем. Корабль захвачен представителями небелковой формы разумной жизни, которые маскируются под обслуживающих роботов, а некоторые даже не делают и этого...»
«То, что у тебя есть, лечится антибиотиками» (nowhere man, 1995)
В телеге срочно нужны читатели!

kak2z

Никто этим вопросом не интересовался?? Просто хочется отказаться от ссылок и перейти полностью на вложения, но вопрос безопасности сильно волнует((
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Dragon_1

Цитата: Serifa от 22 сентября 2013, 18:07:07Тоже интересно. У меня есть аватарки анимированные в папке форуме, сама выбирала. А вот насчет загружать участникам?

Я на своем форуме разрешил анимированые анимашки (GIF). Вы хотите сказать что ето представляет угрозу безопасности?

kak2z

Цитата: Dragon_1 от 23 сентября 2013, 13:14:01
Я на своем форуме разрешил анимированые анимашки (GIF). Вы хотите сказать что ето представляет угрозу безопасности?
есть мнение что с ними могут шеллы загрузить.. даже на нашем форуме встречал где то такое утверждение, не помню кто писал правда.
Вот и интересно насколько это мнение обосновано.
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

ALINA

Цитата: kak2z от 23 сентября 2013, 13:25:42есть мнение что с ними могут шеллы загрузить
но эти картинки тоже же где то взяли .А в графических файлах( при том любых )  вполне могут быть вирусы . картинки обычные же грузишь на форум не боишься . Так чего тут бояться ?

kak2z

Цитата: ALINA от 23 сентября 2013, 14:51:18
но эти картинки тоже же где то взяли .А в графических файлах( при том любых )  вполне могут быть вирусы . картинки обычные же грузишь на форум не боишься . Так чего тут бояться ?
так сейчас когда они грузятся они пережимаются и остается только графическая информация, по сути создается новый файл.
А анимашки должны грузится без пережимания, именно изза него пропадает анимация - получается как раз в этом случае могут загрузить шелл.
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

ALINA

kak2z а вот помнишь разговор за свой форумный картиночный хостинг ? Вот бы пригодился

kak2z

Цитата: ALINA от 23 сентября 2013, 15:09:18
kak2z а вот помнишь разговор за свой форумный картиночный хостинг ? Вот бы пригодился
да и там останется вопрос про безопасность анимашек...  я давно думал сделать отдельный картиночный хостинг, сделать скрипт что бы он работал именно с моим форумом. Вроде как мод ImageSnack..  не хочется хранить данные на чужих хостингах.. хочется на своем все держать.
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

ALINA

Цитата: kak2z от 23 сентября 2013, 15:56:28kak2z
я не знаю как это реализовать но вот если бы можно было бы к этому хостингу прикрутить онлайн проверку  с какого то сервиса на вирусы .Вот на яндекс народ там ведь идет одновременно проверка  на вирусы Вэбом . Да и на других есть .В частности на ЯД .
ЦитироватьImageSnack..
хочу сразу предупредить по поводу этого обменника .Есть  провы в ближнем зарубежье (в частности Казахстан ) которые блокируют изображения я этого картиночного хоста .  С Казахстана пользователи видят  вместо картинки лягушку во льду . :facepalm:

kak2z

Цитата: ALINA от 23 сентября 2013, 16:05:29
я не знаю как это реализовать но вот если бы можно было бы к этому хостингу прикрутить онлайн проверку  с какого то сервиса на вирусы .Вот на яндекс народ там ведь идет одновременно проверка  на вирусы Вэбом . Да и на других есть .В частности на ЯД . хочу сразу предупредить по поводу этого обменника .Есть  провы в ближнем зарубежье (в частности Казахстан ) которые блокируют изображения я этого картиночного хоста .  С Казахстана пользователи видят  вместо картинки лягушку во льду . :facepalm:

у меня когда то был весь форум в лягушках)
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

ALINA

Цитата: kak2z от 23 сентября 2013, 16:06:29у меня когда то был весь форум в лягушках)
Значит не только казахстанские провы режут .Еще есть .

digger®

Цитата: ALINA от 23 сентября 2013, 16:05:29С Казахстана пользователи видят  вместо картинки лягушку во льду
Лягушку разве не сам ImageShack показывает, когда количество запросов их лимит превышает?

kak2z

Цитата: digger® от 23 сентября 2013, 16:26:15
Лягушку разве не сам ImageShack показывает, когда количество запросов их лимит превышает?
Он показывает.. но некоторые страны режет.. у меня был премиум аккаунт.. у одних нормально показывает, а у других были лягушки везде.
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

ALINA

Цитата: digger® от 23 сентября 2013, 16:26:15Лягушку разве не сам ImageShack показывает, когда количество запросов их лимит превышает?
нет  некоторые провы режут .Не сохранилась у меня эта картинка на форуме .Но прикольно .Лягушка в кубе льда . ;D

kak2z

Цитата: ALINA от 23 сентября 2013, 16:35:16
нет  некоторые провы режут .Не сохранилась у меня эта картинка на форуме .Но прикольно .Лягушка в кубе льда . ;D

Лягушка вроде логотип imagesnack`a

П.С.) А вопрос про анимашки и безопасность так и открыт)
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

ALINA


iaroslav

Цитата: kak2z от 23 сентября 2013, 12:26:45
Никто этим вопросом не интересовался?? Просто хочется отказаться от ссылок и перейти полностью на вложения, но вопрос безопасности сильно волнует((
Ну, вроде те уязвимости, что публиковали здесь они требуют либо админских куков, либо предварительно загруженного кода. Соотвественно сама по себе загрузка jpg не опасна.
Но оно в моём случае несколько голословно и вообще имхо.

kak2z

Цитата: iaroslav от 23 сентября 2013, 18:02:02
Ну, вроде те уязвимости, что публиковали здесь они требуют либо админских куков, либо предварительно загруженного кода. Соотвественно сама по себе загрузка jpg не опасна.
Но оно в моём случае несколько голословно и вообще имхо.

я про загрузку gif говорю без сжатия... если картинка пережимается то по сути это новый файл..  а если остается без изменений - то тут я не знаю что сказать по поводу безопасности
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

iaroslav

Тьфу, в моём сообщении имелось в виду gif. Очепятался  ::)

Впрочем, сейчас погуглил на эту тему... там походу реальне как-то всё грустно. В смысле, что в exif поля вписывается что угодно, соотвественно при должном упорстве можно много всякого неприятного сделать.
При этом пишут что идея с парсингом подгружаемых картинок или выставлением ограничений на выполнение комманд на сервере могут оказаться и не эффективными (так как цмс популярная, что где лежит узнать легко).
Вычитал отсюда: http://raz0r.name/articles/bezopasnost-zagruzhaemyx-izobrazhenij/

Сейчас, интереса ради, гуглю о том, есть ли способы на сревере менять exif у всего подгружаемого.

kak2z

Цитата: iaroslav от 24 сентября 2013, 11:54:37
Тьфу, в моём сообщении имелось в виду gif. Очепятался  ::)

Впрочем, сейчас погуглил на эту тему... там походу реальне как-то всё грустно. В смысле, что в exif поля вписывается что угодно, соотвественно при должном упорстве можно много всякого неприятного сделать.
При этом пишут что идея с парсингом подгружаемых картинок или выставлением ограничений на выполнение комманд на сервере могут оказаться и не эффективными (так как цмс популярная, что где лежит узнать легко).
Вычитал отсюда: http://raz0r.name/articles/bezopasnost-zagruzhaemyx-izobrazhenij/

Сейчас, интереса ради, гуглю о том, есть ли способы на сревере менять exif у всего подгружаемого.
единственное что меня радует что у нас нет прямых ссылок на картинки... может это спасет.. а вообще очень хочется услышать мнение гуру по этому поводу))
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

iaroslav

Ога. Будем ждать появления гуру.


Ну а пока просто поделюсь нагуглённым (вдруг кому-нибудь пригодится)
Гугление какие-то очень противоречивые результаты даёт. Где-то (как в приведённом выше источнике) пишут что парсинг и настройки ограничения на сервере не эффективны. Где-то, что они чуть ли не панацея.
Где-то ещё встречал, идею о том, что если делать всем загружаемым картинкам resize то это гарантировано убьёт все exifы.

Ну и на хабре нашёлся убиватель exifов но, увы, на питоне. На php , походу, такого не существует :(

Serifa

Так, анимированные аватарки, получается, тоже опасны?
«- Помощник капитана Бакстер, - заявил Лумис, - безбожно врет. Все отнюдь не под контролем, вернее, не под его контролем. Корабль захвачен представителями небелковой формы разумной жизни, которые маскируются под обслуживающих роботов, а некоторые даже не делают и этого...»
«То, что у тебя есть, лечится антибиотиками» (nowhere man, 1995)
В телеге срочно нужны читатели!

iaroslav

Исходя из вышеуказанной статьи получается, что теоритчески опасны все картинки с exif тегами, загружаемые на ваш сервер в незименном виде.

kak2z

Уважаемые профи, а что вы думаете про анимашки?)
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

GeorG

Ну я cgi.fix_pathinfo отключил и не парюсь, загрузка анимации включена.
Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

ALINA

Цитата: GeorG от 27 сентября 2013, 18:36:52Ну я cgi.fix_pathinfo отключил и не парюсь, загрузка анимации включена.
А можно это на пальцах для бестолковых ?

Mavn

SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.