Forum: Rails France upload de documents et sécurité

Announcement (2017-05-07): www.ruby-forum.com is now read-only since I unfortunately do not have the time to support and maintain the forum any more. Please see rubyonrails.org/community and ruby-lang.org/en/community for other Rails- und Ruby-related community platforms.
Julien B. (Guest)
on 2008-11-12 16:03
(Received via mailing list)
bonjour,

je souhaiterais mettre en place un système d'échange de documents.
j'utilise actuellement attachment_fu pour mes images. cependant, je me
pose des questions quant à la sécurité. le fait d'ouvrir l'upload à tout
type de document me semble un peu risqué, surtout après avoir lu un
passage d'agile development in ror au sujet des chemins de fichier
uploadés.

j'avoue qu'après avoir été attaqué par css/xss, je suis d'autant plus
paranoïaque :/

avez-vous un retour d'expérience à ce sujet ?

merci d'avance,

julien
Cyril M. (Guest)
on 2008-11-12 16:10
(Received via mailing list)
Julien B. wrote:
>
> avez-vous un retour d'expérience à ce sujet ?
>
> merci d'avance,
>
>
Charge à toi de mettre un hook de vérification derrière. Par exemple, tu
peux limiter le nombre d'upload ou alors tu peux lancer un anti-virus ou
autre par système de queue avec suppression de document suivant
certaines conditions.


--
Cyril M.
http://blog.shingara.fr
Julien B. (Guest)
on 2008-11-13 19:32
(Received via mailing list)
Cyril M. wrote:
>> paranoïaque :/
>
>

merci pour ta réponse.

en fait, je pensais plus à la sécurité du serveur et de la session.
je vais au final m'appuyer sur un antivirus, un filtrage sur le
content-type, et une limitation sur la taille.
à part une faille de sécurité de nginx sur les ressources desservies
directement en statique qui permettrait l'exécution de script côté
serveur, je ne vois finalement pas ce qui pourrait poser un problème de
sécurité.
This topic is locked and can not be replied to.