Forum: Rails France upload de documents et sécurité

Announcement (2017-05-07): www.ruby-forum.com is now read-only since I unfortunately do not have the time to support and maintain the forum any more. Please see rubyonrails.org/community and ruby-lang.org/en/community for other Rails- und Ruby-related community platforms.
F89858a824f13abaa12a354b6926cad8?d=identicon&s=25 Julien Biard (Guest)
on 2008-11-12 15:03
(Received via mailing list)
bonjour,

je souhaiterais mettre en place un système d'échange de documents.
j'utilise actuellement attachment_fu pour mes images. cependant, je me
pose des questions quant à la sécurité. le fait d'ouvrir l'upload à tout
type de document me semble un peu risqué, surtout après avoir lu un
passage d'agile development in ror au sujet des chemins de fichier
uploadés.

j'avoue qu'après avoir été attaqué par css/xss, je suis d'autant plus
paranoïaque :/

avez-vous un retour d'expérience à ce sujet ?

merci d'avance,

julien
2fd0206c71a1b22a9cc6293f38537461?d=identicon&s=25 Cyril Mougel (shingara)
on 2008-11-12 15:10
(Received via mailing list)
Julien Biard wrote:
>
> avez-vous un retour d'expérience à ce sujet ?
>
> merci d'avance,
>
>
Charge à toi de mettre un hook de vérification derrière. Par exemple, tu
peux limiter le nombre d'upload ou alors tu peux lancer un anti-virus ou
autre par système de queue avec suppression de document suivant
certaines conditions.


--
Cyril Mougel
http://blog.shingara.fr
E8ea895a56fb370bd3f678f774fe290a?d=identicon&s=25 Julien Biard (brasco)
on 2008-11-13 18:32
(Received via mailing list)
Cyril Mougel wrote:
>> paranoïaque :/
>
>

merci pour ta réponse.

en fait, je pensais plus à la sécurité du serveur et de la session.
je vais au final m'appuyer sur un antivirus, un filtrage sur le
content-type, et une limitation sur la taille.
à part une faille de sécurité de nginx sur les ressources desservies
directement en statique qui permettrait l'exécution de script côté
serveur, je ne vois finalement pas ce qui pourrait poser un problème de
sécurité.
This topic is locked and can not be replied to.