Upload de documents et sécurité


#1

bonjour,

je souhaiterais mettre en place un système d’échange de documents.
j’utilise actuellement attachment_fu pour mes images. cependant, je me
pose des questions quant à la sécurité. le fait d’ouvrir l’upload à tout
type de document me semble un peu risqué, surtout après avoir lu un
passage d’agile development in ror au sujet des chemins de fichier
uploadés.

j’avoue qu’après avoir été attaqué par css/xss, je suis d’autant plus
paranoïaque :confused:

avez-vous un retour d’expérience à ce sujet ?

merci d’avance,

julien


#2

Julien B. wrote:

avez-vous un retour d’expérience à ce sujet ?

merci d’avance,

Charge à toi de mettre un hook de vérification derrière. Par exemple, tu
peux limiter le nombre d’upload ou alors tu peux lancer un anti-virus ou
autre par système de queue avec suppression de document suivant
certaines conditions.


Cyril M.
http://blog.shingara.fr


#3

Cyril M. wrote:

paranoïaque :confused:

merci pour ta réponse.

en fait, je pensais plus à la sécurité du serveur et de la session.
je vais au final m’appuyer sur un antivirus, un filtrage sur le
content-type, et une limitation sur la taille.
à part une faille de sécurité de nginx sur les ressources desservies
directement en statique qui permettrait l’exécution de script côté
serveur, je ne vois finalement pas ce qui pourrait poser un problème de
sécurité.