Risiko ved filopplasting

[Gilbert]

Er det noen risiko forbundet ved å tillate brukere å laste opp .doc-filer på serveren?

[Lokaltog]

Er det noen risiko forbundet ved å tillate brukere å laste opp .doc-filer på serveren?

Web-design, HTML eller CSS..?

 

Vel, hodet mitt sier meg at det egentlig ikke kan være noen risiko, men det kommer sikkert an på hvilken server du kjører også..

[Marvil]

Er vel ikke den helt store faren..

 

Det som kan skje, er at noen utnytter det og laster opp masse slik at det går utover båndvidden, og om du betaler for det, så kan det bli dyrt..

[Smidt]

hvilken type risiko er det snakk om?

1. fare for at serveren din krasjer?

2. fare for at det er noen lugubre filer som blir lastet opp?

 

regner med at det er eneren det er snakk om. vil tro at det ikke er så stor fare for at noe skal skje om du tillater .doc filopplasting. men det vil nok alltids være en eller annen metode du en luring kan få serveren din til å krasje på, men dette vil sannsynligvis ta lang tid. så da spørs det om det er noen som gidder å bruke måneder av sin fritid på å få serveren din ned, eller om det i det hele tatt finnes noen som vil at dette skal skje..

 

alstå jeg tror det vil gå fint

[Gilbert]

jammen så bra

 

@lokaltog : sorry; litt korttenk av meg av og til

[Roberto]

Det _kan_ være en potensiell fare ved å legge opp .doc filer - ikke for deg men for alle andre som evt. skulle laste ned filen. Om noen laster opp en .doc fil med et makrovirus vil det kanskje ikke være fullt så kult for folk som laster ned den filen...

[Zethyr]

hvilken type risiko er det snakk om?

1. fare for at serveren din krasjer?

2. fare for at det er noen lugubre filer som blir lastet opp?

 

regner med at det er eneren det er snakk om. vil tro at det ikke er så stor fare for at noe skal skje om du tillater .doc filopplasting. men det vil nok alltids være en eller annen metode du en luring kan få serveren din til å krasje på, men dette vil sannsynligvis ta lang tid. så da spørs det om det er noen som gidder å bruke måneder av sin fritid på å få serveren din ned, eller om det i det hele tatt finnes noen som vil at dette skal skje..

 

alstå jeg tror det vil gå fint

Hvis noen vil ta ned serveren din, vil de nok prøve tusener av andre metoder først... Feilkonfigurert apache, ftp, brute force på admin-deler av siden, flooding....

[Jonas]

Folk kan jo endre filnavn på f eks en film og laste opp laste opp

[phanti]

I dem fleste tilfeller så er det en max-size på filstørrelser som kan lastes opp, tror det også ligger i php.ini eller apache conf filene også, husker ikke helt..

 

Edit* Det er det i php hvertfall, så om php blir benyttet til upload, så er det vel kanskje begrensa her?

;;;;;;;;;;;;;;;;
; File Uploads;
;;;;;;;;;;;;;;;;

; Whether to allow HTTP file uploads.
file_uploads = On

; Temporary directory for HTTP uploaded files (will use system default if not
; specified).
;upload_tmp_dir =

; Maximum allowed size for uploaded files.
upload_max_filesize = 2M

Endret 12. juni 2004 av phanti

[Roberto]

Edit* Det er det i php hvertfall, så om php blir benyttet til upload, så er det vel kanskje begrensa her?

Blir nok ganske dumt å drive og endre på konf-filer da dette med maks filstørrelse enkelt lar seg gjøre i PHP gjennom upload scriptet ditt, altså du kan spesifisere selv i upload scriptet hvor store filene skal være.

 

Det er mange ulemper knyttet til å ende max-filstørrelse i konf-filer; tenk f.eks om du skal ha to forskjellige upload sider hvorav en kan kun støtte filer på maks 200Kb (bilder?) og en annen kun filer på 30Kb (avatar f.eks)...skjønner?

Endret 12. juni 2004 av PiRANhA

[Gilbert]

filstørrelsen kontrollerers av php, så det burde ikke være noe problem. Men som jonas sier, kan man skjule programmer som enten forårsaker krøll på serveren, eller datamaskinen på de som leser filen?

[Zethyr]

PiRANhA: Dette lar seg lett gjøre i apache også, bare man har forskjellige mapper/virtuelle mapper.

 

fjartan: Stemmer...

[RipZ-]

Er vel ikke den helt store faren..

 

Det som kan skje, er at noen utnytter det og laster opp masse slik at det går utover båndvidden, og om du betaler for det, så kan det bli dyrt..

Dette er vel en veldig ineffektiv måte. Om du hadde foreslått å bruke opp harddiskplassen, så kunne jeg vært enig. Men akkuratt her tror jeg ikke han har noe å være redd for.

 

For om de vil bruke båndbredde, er ikke det noe problem. Skrev selv et program for kanskje et år tilbake som jeg kunne sette til å laste ned den samme filen konstant. Selv om filen eller bildet er bare på 100 kb, vil programmet kjøre flere titals (kan bestemme selv) request som den konstant laster ned data fra. Da utgjør det lite forskjell på om filen er på 100kb eller om den er på 100 MB. Med andre ord er dette programmet i stand til å ta ned en side som kjører med begrenset båndbredde bare ved å innstille flere maskiner på forskjellige linjer til å laste ned et enkelt bilde.

 

Ikke det at jeg driver med slik da...

Endret 12. juni 2004 av RipZ-

[phanti]

Ikke det at jeg driver med slik da...

Neida men du fikk uttrykt poenget ditt.

 

Selvsagt blir det for dumt å forandre på konf filer, tenk på webhotell osv, det kan jo ikke fungere tilfredsstillende for brukerne.