XF 2.1 Безопасность вложений

[lazerhead]

Вопрос - насколько безопасны у Xenforo вложения? Могут ли с их помощью залить на сайт какую-нибудь бяку? Мне нужно добавить в список расширений вложений один из исполняемых форматов (типа exe), опасно ли это для форума?

 

[Smalesh]

Мне нужно добавить в список расширений вложений один из исполняемых форматов (типа exe),

Для самого форума - нет, а вот для пользователя... Смотря что зальют.
Сами же аттачи хранятся в виде /internal_data/attachments/*/*/{hash}.data - чисто технически можно залить тело шелла и где-то его инлюдить или вызвать откуда-то (например с cli) - но в этом случае у меня для вас плохие новости, там уже жопа больше чем какие-то аттачи.

 

[West14]

Если не вдаваться в детали и в то, что вопрос весьма забавный - всё безопасно, можно не беспокоиться.

 

[Smalesh]

всё безопасно, можно не беспокоиться.

Не скажи. Любая малварь, даже EICAR - и будут алерты с поисковиков. Плюс есть альтернативно одаренные индивидуумы, у которых exe исполняется без предварительного сохранения (еще и с админской учеткой). Я разрешал бы заливать exe и другие исполняемые типы не всем.

Поэтому безопасней для пользователя - хранить в zip. Для сервера - ну нет проблем к любому файлу что либо приклеить и залить, поэтому прямое обращение к /internal_data/* должно быть запрещено на уровне сервера.

 

[West14]

Smalesh, тут да, бесспорно. Я отвечал конкретно в контексте безопасности для сервера.

А закрытие internal_data для меня это что-то, что само собой разумеется, потому не подумал отписать про данную деталь.

 

[lazerhead]

Любая малварь, даже EICAR - и будут алерты с поисковиков

Вложения скрыты от гостей.

 

[Smalesh]

Вложения скрыты от гостей.

Но не от браузеров.