Угрозы безопасности удаленных образов

На одном из моих веб-сайтов пользователи платят за хранение файлов, поэтому, естественно, они захотят выгрузить столько своих ресурсов на удаленные серверы, сколько смогут себе позволить, особенно потому, что я ограничиваю типы файлов, чтобы предотвратить появление опасных файлов на моем сервере.

В большинстве случаев это не будет проблемой, поскольку для моего сервера не опасно давать им URL-адрес, чтобы их машина могла его получить, но есть один случай, когда это может быть проблемой:

У меня есть один скрипт на моем веб-сайте, который будет получать доступ ко всем записям в моей базе данных и возвращать URL-адрес изображения, связанного с этой записью, для публичного просмотра. Это по-прежнему не представляет угрозы для моего сервера, но проблема заключается в ответственности. Во всех остальных случаях пользователи несут ответственность за то, чем они делятся со своей командой, но когда это общедоступно, теоретически это может быть проблемой.

Каковы, если таковые имеются, риски отображения предоставленных пользователями удаленных изображений на моем веб-сайте и как я могу предотвратить ответственность (кроме того, что пользователи несут ответственность за контент, который они загружают, в моих условиях обслуживания)?


php security remote-access
person David    schedule 30.11.2014    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Ответственность по определению является юридическим, а не техническим вопросом. Мы не можем дать вам совет по юридическим аспектам этого вопроса.

Тем не менее, с технической точки зрения, есть некоторые вопросы, которые вам следует рассмотреть. Например, серверы, на которых размещены эти изображения, очевидно, получат IP-адреса пользователей, просматривающих изображения. Важно ли это для вас, зависит от характера вашего веб-сайта.

Еще одна проблема, которую следует учитывать, заключается в том, что URL-адреса страниц вашего веб-сайта могут передаваться на серверы, на которых размещены изображения (например, в HTTP-заголовке Referrer). Если ваше приложение содержит страницы, которые принимают конфиденциальные данные в качестве параметров URL-адреса, и на этих страницах отображаются указанные пользователем изображения, эти данные будут раскрыты.

Наконец, злонамеренный (или, по крайней мере, умный) пользователь может указать изображение, которое на самом деле является скриптом, который будет возвращать разные данные в зависимости от некоторых переменных. (Или еще проще: они могут заменить один файл другим после его вставки.) В зависимости от того, что делает ваш веб-сайт, это может вызвать проблемы. Например, если ваш веб-сайт имеет ограничения на размер изображений, пользователь может вставить изображение приемлемого размера, а затем заменить файл на файл большего размера.

person Community    schedule 30.11.2014