C'è qualche pericolo nel permettere agli utenti di ospitare file PDF / RTF / DOC sul mio server web?

3

Se dovessi consentire agli utenti di ospitare file PDF / RTF / DOC arbitrari sul mio server tutti con lo stesso nome, ma con stringhe di query diverse ci sarebbe qualcosa di cui preoccuparsi? Ho sentito parlare di exploit PDF / RTF, e ho capito che qualcuno potrebbe forse ospitare uno di quelli sul mio server, ma voglio dire che non è che possano accedere ai dati dei cookie o qualsiasi cosa attraverso un file PDF. Quindi va bene, o dovrei essere preoccupato?

Devo farli ospitare i file con un nome di dominio diverso, o sto bene usando il mio dominio originale?

Ho notato, ad esempio, che molti siti Web come Facebook, Google, YouTube, ecc. hanno nomi di dominio speciali per ospitare immagini e altri dati che consentono agli utenti di caricare, quindi sono curioso.

    
posta jake192 19.09.2014 - 22:11
fonte

2 risposte

4

Il problema non è che i file possano contenere exploit, ma che possano essere fatti per causare danni se reinterpretati come formati diversi. Ad esempio, qualcuno può caricare un file con estensione RTF, che in realtà è un file Flash progettato per rubare i cookie o eseguire attacchi CSRF. Questo è uno dei motivi per cui Google ospita tutti i file forniti dall'utente in un dominio separato , in modo che il dominio principale sia isolato da tale contenuto dalla politica della stessa origine .

    
risposta data 20.09.2014 - 02:15
fonte
0

Pericolo immediato - no.

Potenziale pericolo - sì: al sistema di chiunque che sta accedendo a questi file. La scansione antivirus può mitigare parte di questo rischio, ma è lungi dall'essere perfetta.

    
risposta data 21.09.2014 - 20:10
fonte

Leggi altre domande sui tag