[TYPO3-UG Denmark] file upload - sikkerhed
Kim Egede Jakobsen
egede at mocsystems.com
Thu Aug 6 11:51:19 CEST 2009
Hej Anders.
Jeg kender ikke lige den omtalte extension du snakker om, men ville ikke
smide de filer i databasen.
Det kunne jo løses på mange forskellige måder her er en af dem jeg vill
vælge:
På uploads/tx_uploadextension/ ville jeg lave en .htaccess fil som ikke
tillader direkte adgang.
Så ville jeg lave en ny extension som evt. Kun indeholder et eid script, som
så har adgang til upload mappen.
Så kender folk heller ikke den direkte sti til filen.
F.eks. index.php?eID=show_file&file=hemmelig.txt
Så kunne man jo tjekke om den fe_user der prøver at tilgå eID scriptet, har
adgang.
-----Original Message-----
From: typo3-ug-denmark-bounces at lists.netfielders.de
[mailto:typo3-ug-denmark-bounces at lists.netfielders.de] On Behalf Of Anders
Tillebeck
Sent: 6. august 2009 10:23
To: typo3-ug-denmark at lists.netfielders.de
Subject: [TYPO3-UG Denmark] file upload - sikkerhed
Hej
Er der nogen, som vil dele "best practice" når det kommer til filupload
og sikkerhed? Sikerhed for, at andre ikke kan få adgang til dokumenterne
tænkes der på.
Hvis nu der skal uploades filer af én fe_user, men de skal kunne læses
af en anden fe_user (fx. jeg uploader en kopi af dit pas og knytter det
til din fe_user). Hvordan gøres det så lettest samtidigt med, at ingen
uvedkommende (også uønskede fe_users) kan tilgå filerne?
Filer plejer efter upload at blive gemt i en folder
(uploads/tx_uploadextension), som en hel fil og kan ofte tilgåes via en
direkte url (domain.dk/uploads/tx_uploadextension/hemmeliged.txt). Det
virker lidt usikkert og sætter krav til hostingen, at de ikke pludselig
giver offentlig adgang via direkte links. Hvordan kan det forhindres
Jeg har set denne extension: netcos_load2db, som gemmer filer på sikker
vis i databasen. Er det en god extension, eller må man forvente, at en
database fuld af filer vil give problemer?
Ud over netcos_load2db, som gemmer i databasen er der disse, som evt.
kunne komme på tale. Nogle der kan anbefales frem for andre?
mx_fileupload
fileupload
file_explore
zf_filespender
sni_downloads
cool_autoindex
Erfaringer af enhver art er velkomne
Hilsen Anders
_______________________________________________
TYPO3-UG-Denmark mailing list
TYPO3-UG-Denmark at lists.netfielders.de
http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-ug-denmark
More information about the TYPO3-UG-Denmark
mailing list