je souhaiterais mettre en place un système d’échange de documents.
j’utilise actuellement attachment_fu pour mes images. cependant, je me
pose des questions quant à la sécurité. le fait d’ouvrir l’upload à tout
type de document me semble un peu risqué, surtout après avoir lu un
passage d’agile development in ror au sujet des chemins de fichier
uploadés.
j’avoue qu’après avoir été attaqué par css/xss, je suis d’autant plus
paranoïaque
Charge à toi de mettre un hook de vérification derrière. Par exemple, tu
peux limiter le nombre d’upload ou alors tu peux lancer un anti-virus ou
autre par système de queue avec suppression de document suivant
certaines conditions.
en fait, je pensais plus à la sécurité du serveur et de la session.
je vais au final m’appuyer sur un antivirus, un filtrage sur le
content-type, et une limitation sur la taille.
à part une faille de sécurité de nginx sur les ressources desservies
directement en statique qui permettrait l’exécution de script côté
serveur, je ne vois finalement pas ce qui pourrait poser un problème de
sécurité.
This forum is not affiliated to the Ruby language, Ruby on Rails framework, nor any Ruby applications discussed here.