Pericoli di PHP caricare documenti word in quarantena

0

Ho intenzione di scrivere uno script PHP che consentirà agli utenti Web di caricare documenti formattati MS Word. Ecco le precauzioni che sto prendendo:

  • I nomi dei file verranno creati da me (qualcosa come YYYY-MM-DD.doc )
  • I file avranno 600 o autorizzazioni inferiori.
  • I file non verranno toccati fino a quando non verranno scaricati tramite FTP.
  • La dimensione del file è limitata.

Ho cercato dei modi per verificare che un file sia un documento di parole valido, ma le strategie sembrano tutte imperfette e richiedono molto tempo. Una volta che sono stati scaricati su un computer per la revisione, lascio che l'antivirus del computer prenda il sopravvento in caso di un documento word valido che è in qualche modo infetto.

Mettere i file in una sorta di quarantena, come descritto sopra, attenua i pericoli di non verificare che la sua parola sia formattata?

    
posta brentonstrine 30.04.2014 - 22:16
fonte

1 risposta

4

Quali pericoli ti preoccupano?

Sei preoccupato per i pericoli per il server? In tal caso, le precauzioni sembrano adeguate: nulla di ciò che stai facendo è trattare i file come una raccolta di byte, quindi anche un file con un carico utile dannoso non farà nulla al server.

Sei preoccupato per i pericoli per altri computer? In tal caso, le tue precauzioni sono inadeguate, ma verificare che i file siano documenti di Word non sarà di grande aiuto: il malware personalizzato può superare uno scanner antivirus e persino i documenti Word validi possono contenere malware.

Sei preoccupato che il tuo server venga utilizzato per trasmettere materiale illegale? In questo caso, dovrai eseguire un'analisi approfondita, possibilmente manuale, dei caricamenti, perché un documento di Word può incorporare immagini o può contenere informazioni classificate o ...

    
risposta data 01.05.2014 - 07:02
fonte

Leggi altre domande sui tag