Анимашки и безопасность..

[kak2z]

Меня мои форумчане давно просят сделать так что бы можно было грузить анимашки.. то есть выключить преобразование не JPG фалов в JPG и отключить естественно экстенсивную проверку.
Я бы давно это сделал, места на хостинге не жалко мне для анимашек... но начитавшись страшилок про то как внедряют через анимашки шеллы - мне не очень хочется это делать..
Мои опасения не беспочвенны?? Можно ли разрешать грузить анимашки с точки зрения безопастности? Или все таки пусть для этого используют внешние хостинги?
Спасибо.

[Serifa]

Тоже интересно. У меня есть аватарки анимированные в папке форуме, сама выбирала. А вот насчет загружать участникам?

[kak2z]

Никто этим вопросом не интересовался?? Просто хочется отказаться от ссылок и перейти полностью на вложения, но вопрос безопасности сильно волнует((

[Dragon_1]

Тоже интересно. У меня есть аватарки анимированные в папке форуме, сама выбирала. А вот насчет загружать участникам?

Я на своем форуме разрешил анимированые анимашки (GIF). Вы хотите сказать что ето представляет угрозу безопасности?

[kak2z]

Я на своем форуме разрешил анимированые анимашки (GIF). Вы хотите сказать что ето представляет угрозу безопасности?

есть мнение что с ними могут шеллы загрузить.. даже на нашем форуме встречал где то такое утверждение, не помню кто писал правда.
Вот и интересно насколько это мнение обосновано.

[ALINA]

есть мнение что с ними могут шеллы загрузить

но эти картинки тоже же где то взяли .А в графических файлах( при том любых )  вполне могут быть вирусы . картинки обычные же грузишь на форум не боишься . Так чего тут бояться ?

[kak2z]

но эти картинки тоже же где то взяли .А в графических файлах( при том любых )  вполне могут быть вирусы . картинки обычные же грузишь на форум не боишься . Так чего тут бояться ?

так сейчас когда они грузятся они пережимаются и остается только графическая информация, по сути создается новый файл.
А анимашки должны грузится без пережимания, именно изза него пропадает анимация - получается как раз в этом случае могут загрузить шелл.

[ALINA]

kak2z а вот помнишь разговор за свой форумный картиночный хостинг ? Вот бы пригодился

[kak2z]

kak2z а вот помнишь разговор за свой форумный картиночный хостинг ? Вот бы пригодился

да и там останется вопрос про безопасность анимашек...  я давно думал сделать отдельный картиночный хостинг, сделать скрипт что бы он работал именно с моим форумом. Вроде как мод ImageSnack..  не хочется хранить данные на чужих хостингах.. хочется на своем все держать.

[ALINA]

kak2z

я не знаю как это реализовать но вот если бы можно было бы к этому хостингу прикрутить онлайн проверку  с какого то сервиса на вирусы .Вот на яндекс народ там ведь идет одновременно проверка  на вирусы Вэбом . Да и на других есть .В частности на ЯД .

ImageSnack..

хочу сразу предупредить по поводу этого обменника .Есть  провы в ближнем зарубежье (в частности Казахстан ) которые блокируют изображения я этого картиночного хоста .  С Казахстана пользователи видят  вместо картинки лягушку во льду .

[kak2z]

я не знаю как это реализовать но вот если бы можно было бы к этому хостингу прикрутить онлайн проверку  с какого то сервиса на вирусы .Вот на яндекс народ там ведь идет одновременно проверка  на вирусы Вэбом . Да и на других есть .В частности на ЯД . хочу сразу предупредить по поводу этого обменника .Есть  провы в ближнем зарубежье (в частности Казахстан ) которые блокируют изображения я этого картиночного хоста .  С Казахстана пользователи видят  вместо картинки лягушку во льду .

у меня когда то был весь форум в лягушках)

[ALINA]

у меня когда то был весь форум в лягушках)

Значит не только казахстанские провы режут .Еще есть .

[digger®]

С Казахстана пользователи видят  вместо картинки лягушку во льду

Лягушку разве не сам ImageShack показывает, когда количество запросов их лимит превышает?

[kak2z]

Лягушку разве не сам ImageShack показывает, когда количество запросов их лимит превышает?

Он показывает.. но некоторые страны режет.. у меня был премиум аккаунт.. у одних нормально показывает, а у других были лягушки везде.

[ALINA]

Лягушку разве не сам ImageShack показывает, когда количество запросов их лимит превышает?

нет  некоторые провы режут .Не сохранилась у меня эта картинка на форуме .Но прикольно .Лягушка в кубе льда .

[kak2z]

нет  некоторые провы режут .Не сохранилась у меня эта картинка на форуме .Но прикольно .Лягушка в кубе льда .

Лягушка вроде логотип imagesnack`a

П.С.) А вопрос про анимашки и безопасность так и открыт)

[ALINA]

kak2z

ага я тоже нашла 

[iaroslav]

Никто этим вопросом не интересовался?? Просто хочется отказаться от ссылок и перейти полностью на вложения, но вопрос безопасности сильно волнует((

Ну, вроде те уязвимости, что публиковали здесь они требуют либо админских куков, либо предварительно загруженного кода. Соотвественно сама по себе загрузка jpg не опасна.
Но оно в моём случае несколько голословно и вообще имхо.

[kak2z]

Ну, вроде те уязвимости, что публиковали здесь они требуют либо админских куков, либо предварительно загруженного кода. Соотвественно сама по себе загрузка jpg не опасна.
Но оно в моём случае несколько голословно и вообще имхо.

я про загрузку gif говорю без сжатия... если картинка пережимается то по сути это новый файл..  а если остается без изменений - то тут я не знаю что сказать по поводу безопасности

[iaroslav]

Тьфу, в моём сообщении имелось в виду gif. Очепятался 

Впрочем, сейчас погуглил на эту тему... там походу реальне как-то всё грустно. В смысле, что в exif поля вписывается что угодно, соотвественно при должном упорстве можно много всякого неприятного сделать.
При этом пишут что идея с парсингом подгружаемых картинок или выставлением ограничений на выполнение комманд на сервере могут оказаться и не эффективными (так как цмс популярная, что где лежит узнать легко).
Вычитал отсюда: http://raz0r.name/articles/bezopasnost-zagruzhaemyx-izobrazhenij/

Сейчас, интереса ради, гуглю о том, есть ли способы на сревере менять exif у всего подгружаемого.

[kak2z]

Тьфу, в моём сообщении имелось в виду gif. Очепятался 

Впрочем, сейчас погуглил на эту тему... там походу реальне как-то всё грустно. В смысле, что в exif поля вписывается что угодно, соотвественно при должном упорстве можно много всякого неприятного сделать.
При этом пишут что идея с парсингом подгружаемых картинок или выставлением ограничений на выполнение комманд на сервере могут оказаться и не эффективными (так как цмс популярная, что где лежит узнать легко).
Вычитал отсюда: http://raz0r.name/articles/bezopasnost-zagruzhaemyx-izobrazhenij/

Сейчас, интереса ради, гуглю о том, есть ли способы на сревере менять exif у всего подгружаемого.

единственное что меня радует что у нас нет прямых ссылок на картинки... может это спасет.. а вообще очень хочется услышать мнение гуру по этому поводу))

[iaroslav]

Ога. Будем ждать появления гуру.

Ну а пока просто поделюсь нагуглённым (вдруг кому-нибудь пригодится)
Гугление какие-то очень противоречивые результаты даёт. Где-то (как в приведённом выше источнике) пишут что парсинг и настройки ограничения на сервере не эффективны. Где-то, что они чуть ли не панацея.
Где-то ещё встречал, идею о том, что если делать всем загружаемым картинкам resize то это гарантировано убьёт все exifы.

Ну и на хабре нашёлся убиватель exifов но, увы, на питоне. На php , походу, такого не существует

[Serifa]

Так, анимированные аватарки, получается, тоже опасны?

[iaroslav]

Исходя из вышеуказанной статьи получается, что теоритчески опасны все картинки с exif тегами, загружаемые на ваш сервер в незименном виде.

[kak2z]

Уважаемые профи, а что вы думаете про анимашки?)

[GeorG]

Ну я cgi.fix_pathinfo отключил и не парюсь, загрузка анимации включена.

[ALINA]

Ну я cgi.fix_pathinfo отключил и не парюсь, загрузка анимации включена.

А можно это на пальцах для бестолковых ?

[Mavn]

http://habrahabr.ru/post/100961/