Supportnet / Forum / Webseiten/HTML
Dateiupload sicher?
Frage
Hallo,
habe mir ein Upload-Script (php) für meine Homepage besorgt, damit Besucher meiner Seite Dateien hochladen können. Der Zielordner auf dem Server ist mit einer .htaccess-Datei mit folgendem Inhalt geschützt:
authtype basic
require valid-user
Die Verlinkungsmöglichkeit von Bildern/Dateien ist auch abgeschaltet. Meine Frage nun, wie sicher ist dieser Schutz, falls mir jemand sog. Schadsoftware hochladen sollte? Sollte ich den Upload auf Bilder beschränken, oder sind auch zB .exe-file gefahrlos möglich?
Antwort 1 von katy
Hallo shorty066,
was genau ist dein Problem? Sorry, aber ich verstehe das gerade nicht. jemand lädt ein exe-File auf deinen Space. Und dann? Könnte jemand anderes dies aus Versehen runterladen? Hast du Angst als Virenschleuder missbraucht zu werden? Oder ist Download nicht vorgesehen?
katy
was genau ist dein Problem? Sorry, aber ich verstehe das gerade nicht. jemand lädt ein exe-File auf deinen Space. Und dann? Könnte jemand anderes dies aus Versehen runterladen? Hast du Angst als Virenschleuder missbraucht zu werden? Oder ist Download nicht vorgesehen?
katy
Antwort 2 von shorty066
Hallo,
also hauptsächlich geht es mir darum, dass auf dem Server kein Schaden angerichtet u./od. nichts verändert werden kann. Zumindest, dass Risiko durch meine Uploads nicht erhöht wird! ;) Wie ich inzwischen erfahren habe, kann dies nur durch .php passieren. Ich gehe also davon aus, dass nichts passieren kann, solange die Endung .php verboten bleibt, oder liege ich da falsch? Die Dateien gedenke ich zu prüfen, bevor sie weiter verwendet (zB. als Download angeboten) werden. Mehr wie 3MB/Datei erlaubt mein Provider eh nicht, von daher hält sich der Aufwand in Grenzen.
Shorty
also hauptsächlich geht es mir darum, dass auf dem Server kein Schaden angerichtet u./od. nichts verändert werden kann. Zumindest, dass Risiko durch meine Uploads nicht erhöht wird! ;) Wie ich inzwischen erfahren habe, kann dies nur durch .php passieren. Ich gehe also davon aus, dass nichts passieren kann, solange die Endung .php verboten bleibt, oder liege ich da falsch? Die Dateien gedenke ich zu prüfen, bevor sie weiter verwendet (zB. als Download angeboten) werden. Mehr wie 3MB/Datei erlaubt mein Provider eh nicht, von daher hält sich der Aufwand in Grenzen.
Shorty
Antwort 3 von katy
Hallo shorty066,
wenn du die Dateien sowieso von Hand prüfst bietet es sich an, sie beim Upload in ein Verzeichnis zu legen, auf das erst einmal niemand Zugriff hat von außen. Was nicht aufgerufen werden kann wird auch nicht ausgeführt.
Alles freigegebene kannst du dann in Ruhe in den Download-Bereich verschieben.
Du kannst sowas wie Scripte auch einfach umbenennen lassen in Text-Dateien, so dass diese weder bei dir noch im Browser beim Download versehentlich ausgeführt sondern allenfalls angezeigt werden.
katy
wenn du die Dateien sowieso von Hand prüfst bietet es sich an, sie beim Upload in ein Verzeichnis zu legen, auf das erst einmal niemand Zugriff hat von außen. Was nicht aufgerufen werden kann wird auch nicht ausgeführt.
Alles freigegebene kannst du dann in Ruhe in den Download-Bereich verschieben.
Du kannst sowas wie Scripte auch einfach umbenennen lassen in Text-Dateien, so dass diese weder bei dir noch im Browser beim Download versehentlich ausgeführt sondern allenfalls angezeigt werden.
katy