[TYPO3-UG Denmark] file upload - sikkerhed

Anders Tillebeck at at opengate.dk
Thu Aug 6 12:03:47 CEST 2009 

Hej Kim

Super! Det var et rigtigt godt forslag.

Jeg ønskede heller ikke at gå videre med den nævnte ext, men havde i 
stedet set på ext:file_explorer, som har et rigtigt dejligt brugerinterface.

Men nu overvejer jeg at lave min egen for at få implementeret det, som 
du beskriver med ikke at kunne se den rigtige sti til dokumenterne. Har 
ikke checket ext:file_explorer om det er tilfældet.

Minusset er jo stadig, at hvis Hosting Provider laver en fejl, så er ens 
filer exponeret på nettet. Det er jo aldrig så godt. Men så er der med 
dit eksempel den ekstra sikkerhed i, at ingen kender stien.

Hilsen Anders





Kim Egede Jakobsen skrev:
> Hej Anders.
> Jeg kender ikke lige den omtalte extension du snakker om, men ville ikke
> smide de filer i databasen.
> 
> Det kunne jo løses på mange forskellige måder her er en af dem jeg vill
> vælge:
> På uploads/tx_uploadextension/ ville jeg lave en .htaccess fil som ikke
> tillader direkte adgang.
> 
> Så ville jeg lave en ny extension som evt. Kun indeholder et eid script, som
> så har adgang til upload mappen.
> Så kender folk heller ikke den direkte sti til filen.
> F.eks. index.php?eID=show_file&file=hemmelig.txt
> 
> Så kunne man jo tjekke om den fe_user der prøver at tilgå eID scriptet, har
> adgang.
> 
> 
> -----Original Message-----
> From: typo3-ug-denmark-bounces at lists.netfielders.de
> [mailto:typo3-ug-denmark-bounces at lists.netfielders.de] On Behalf Of Anders
> Tillebeck
> Sent: 6. august 2009 10:23
> To: typo3-ug-denmark at lists.netfielders.de
> Subject: [TYPO3-UG Denmark] file upload - sikkerhed
> 
> Hej
> 
> Er der nogen, som vil dele "best practice" når det kommer til filupload 
> og sikkerhed? Sikerhed for, at andre ikke kan få adgang til dokumenterne 
> tænkes der på.
> 
> Hvis nu der skal uploades filer af én fe_user, men de skal kunne læses 
> af en anden fe_user (fx. jeg uploader en kopi af dit pas og knytter det 
> til din fe_user). Hvordan gøres det så lettest samtidigt med, at ingen 
> uvedkommende (også uønskede fe_users) kan tilgå filerne?
> 
> Filer plejer efter upload at blive gemt i en folder 
> (uploads/tx_uploadextension), som en hel fil og kan ofte tilgåes via en 
> direkte url (domain.dk/uploads/tx_uploadextension/hemmeliged.txt). Det 
> virker lidt usikkert og sætter krav til hostingen, at de ikke pludselig 
> giver offentlig adgang via direkte links. Hvordan kan det forhindres
> 
> Jeg har set denne extension: netcos_load2db, som gemmer filer på sikker 
> vis i databasen. Er det en god extension, eller må man forvente, at en 
> database fuld af filer vil give problemer?
> 
> Ud over netcos_load2db, som gemmer i databasen er der disse, som evt. 
> kunne komme på tale. Nogle der kan anbefales frem for andre?
> mx_fileupload
> fileupload
> file_explore
> zf_filespender
> sni_downloads
> cool_autoindex
> 
> Erfaringer af enhver art er velkomne
> 
> Hilsen Anders
> _______________________________________________
> TYPO3-UG-Denmark mailing list
> TYPO3-UG-Denmark at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-ug-denmark
>

More information about the TYPO3-UG-Denmark mailing list