Ankündigung

Einklappen
Keine Ankündigung bisher.

User erlauben Bilddatei in PDF einzubinden (Risiken?)

Einklappen

Neue Werbung 2019

Einklappen
X
Einklappen
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige Weiter
  • #1

    User erlauben Bilddatei in PDF einzubinden (Risiken?)

    Hallo Forum,
    hoffe ich habe das Thema im richtigen Forum gepostet.

    Ich erstelle über PHP und FPDF eine PDF-Datei in die der User eine eigene Bilddatei einbinden kann, um sich dann das erstellte PDF runterzuladen. Nun mache ich mir Gedanken welche Risiken das mit sich bringt. Es soll als kostenloser Dienst angeboten werden bei dem der User sich nicht auf der Anbietersite anmelden braucht.

    Das ganze läuft auf einen Apache und Linux.
    Als Automatisierungsschutz könnte noch ein Captcha vorgeschaltet werden.

    Aber wie sieht es mit Infizierten Bilddateien aus? Die gibt es ja relativ selten und sind vorwiegend auf Win zugeschnitten.

    Könnt Ihr mir dazu etwas schreiben?

    gruss fomo
    Stichworte: -
  • #2
    abgesehen davon, dass ein computer mit strom sicherheits kritisch ist, was genau bedrückt dich?
    //offtopic:
    Diskussionen auf Profi-Niveau: PHP Lösungen auf konzeptioneller Ebene??

    Kommentar

    • #3
      Als nicht Profi und jemand der sich ein Teil der Materie auf autodidaktischem Weg angeeignet hat, ist mein Wissen im Umfeld der serverseitigen Programmierung diskret. Daher sollte meine Frage an Profis gerichtet werden, die sich von Hause aus sicher über das Problem der Sicherheit Gedanken gemacht haben müssen.

      Wenn der Beitrag an dieser Stelle unangemessen ist, bitte ich einen Admin es in ein geeignetes Forum zu verschieben.
      Es war sicher nicht meine Absicht jemandem auf den professionellen Schlips zu treten, und das Niveau zu untergraben.

      Es ging mir nur darum in Erfahrung zu bringen ob es aus sicherheitstechnischen Gründen bedenklich ist, fremden Usern zu erlauben Bilddateien ihrer Wahl an ein PHP-Script zu senden, und wenn ja welche, und welche die geeigneten Maasnahmen sind um diese zu begegnen.

      gruss fomo

      Kommentar

      • #4
        naja, mit desing hat das wohl eher wenig zu tun.
        wie dem auch sei, ich bin kein profi, aber in der lage verschiedene exlloit archive zu durchstöbern.

        fehlcode in ein bild, man kann bilder ja auch als solche testen - getimagesize(nützt fpdf laut https://github.com/lsolesen/fpdf/blo...r/src/fpdf.php /magicfile/exifdata - einzubetten, um durch ein exploit die uid deines php programms dazu zubringen root zu werden, ist nicht zwingend trivial.

        ob es unmöglich ist? sicher nicht. aber mir scheint die sorge unbegründet, ist man nicht im visier von exprerimentierfreudiger hackern oder diensten der usa.

        profies wissen sicher besseres.

        Kommentar

        • #5
          Zitat von moma Beitrag anzeigen
          ob es unmöglich ist? sicher nicht.
          Hallo, bitte was ist nicht möglich?

          Wenn ich dich richtig verstehe würdest du den Dienst ohne grosse Sorge einbinden?

          Kommentar

          • #6
            yo, du vestehst mich richtig.

            Kommentar

            Vorherige Weiter
            Lädt...
            X