UploadSystem vor dem Missbrauch schützten ?



  • Hi,

    ich habe bedenken, dass mein UploadScript /System zb. für illegale dateien missbrauchbar wäre, ich nur kontrolliere, welche ändung eine bestimmte datei hat.

    Ist eine Datei "Kontrolle" auf binärer basis möglich(oder eine anders) ohne groß arbeit zu investieren ?

    Ciao


  • Mod

    Es ist nicht möglich. Schau dir zB rapidshare.de an. Da liegen auch dauernd illegale Sachen drauf. Einzig effektives Mittel ist möglichst schnell die Sachen wieder löschen. Das macht zB angelfire ziemlich gut.

    Aber illegale Sachen zu verbieten geht leider nicht. Gerne verwendet wird eine Dateigrößen Limitierung auf 500KB oder so - da passt dann fast nichts rein, aber für die meisten dokumente, etc. reicht es.

    Selbst wenn das script jede Datei analysiert, wird einfach eine passwort geschützte rar Datei oder so raufgeladen...

    Einzige Möglichkeit: du erlaubst nur bestimmte Dateitypen. Diese könntest du dann checken. Ist aber leider nicht besonders komfortabel für den User.

    Die Leute sind was illegale sachen betrifft leider sehr erfinderisch 😞



  • Ok, Vielen Dank 👍



  • 500kb ist auch kein Hindernis.
    Egal welche größe man nimmt. Uploader erstellen die Packete so das sie passen
    Man könnte aber z.B. die Anzahl Dateien und die größe limitieren. Aber auch das wird ausgehebelt indem man eben viele Accoutns erstellt. Da gibt es dan Scripter die ein Auto-Script für Accounterstellung schreiben.

    Du siehst es gibt keine Lösung außer Mitarbeiter anzustellen welche die Dateien auf Plausibilität prüfen.
    (20 gleichnamige Dateien nur mit einer kl. Änderung (Zähler) im Namen oder so sieht nicht gut aus.



  • $reg = ".exe|.zip|.rar|.php|.pl";// Liste fortsetzen
    if (eregi($reg, $dateiname)
    {
       echo "Fehler";
    }
    else
        echo "Okay";
    }
    

    MfG CSS


  • Mod

    CSS schrieb:

    $reg = ".exe|.zip|.rar|.php|.pl";// Liste fortsetzen
    if (eregi($reg, $dateiname)
    {
       echo "Fehler";
    }
    else
        echo "Okay";
    }
    
    1. ereg verwendet man _nie_
    2. regex sind hier sinnlos
    3. dieser code ist sinnlos


  • ...weil...

    MfG CSS


  • Mod

    CSS schrieb:

    ...weil...

    1. weil lahm
    2. weil keien regex funktionalitaet noetig
    3. weil siehe postings von unix-tom und mir


  • JayJay schrieb:

    Ist eine Datei "Kontrolle" auf binärer basis möglich

    sicher, aber ob es sinn macht, kommt darauf an, welche dateitypen du zulassen willst. Um eine exe-Datei in ein eine gültiges Jpeg zu verwandeln, erfordert es schon etwas mehr... naja, wahrscheinlich gibts da auch Programme für.
    Und am Ende hast du immer noch das Problem, dass die Datei selbst in ihrem Format illegal ist. Seien es copyright-geschützte mp3s oder was auch immer.



  • Jetzt habe ich's:

    Im $_FILE[]-Array bestimmt "type" doch den MIME-Type einer Datei.
    Somit kann man mit in_array(); leicht eine Überprüfung durchführen, ohne großen Aufwand versteht sich.

    MfG CSS


  • Mod

    CSS schrieb:

    Jetzt habe ich's:

    Lass es sein.

    Im $_FILE[]-Array bestimmt "type" doch den MIME-Type einer Datei.
    Somit kann man mit in_array(); leicht eine Überprüfung durchführen, ohne großen Aufwand versteht sich.

    Jetzt muesste nur jemand folgendes erfinden: datei erweiterungen aenderbar zu machen. sowas waere ja echt genial.

    werde ich mir mal patentieren lassen...



  • Der MIME-Type wird vom Brwoser gesendet. Was wenn im Browser für eine EXE der Type JPEG registriert wird und JPEG wird akzeptiert. Dann kann er trotzdem eine EXE hochladen.
    Man kann auch die Extensoion umbenennen. Dann geht es auch nicht.
    Einfach eine EXE in jpg umbenennen und schon ist der MIME-Type JPEG.

    Mit herkömmlichen Mitteln ist es nicht möglich. Seht es ein.



  • Mein letzter Versuch:

    Wenn der "böse" User seine *.exe in eine *.jpg umbenennt, kann die Datei auf dem Server ja nicht mehr ausgeführt werden, außer er benennt diese um - aber auch nur wenn das erlaubt ist.

    Desweiteren könnte man nach jedem 10. Upload ein Script starten, dass alle Verzeichnis (rekursiv) durchsucht und Dateien mit nicht erlaubter Dateiendung löscht oder komprimiert und in einen eigens für dafür vorgehsehenes Verzeichnis verschiebt. Danach wird der Admin per E-Mail verständigt. Dieser ladet sich einfach die komprimierten Dateien runder und nimmt Sie genauer unter die Lupe.

    MfG CSS



  • Wieso sollte er es auf dem Server umbenennen?


  • Mod

    CSS schrieb:

    Mein letzter Versuch:

    Ich wiederhole: lass es sein

    eine .exe laesst sich unter Linux meistens sowieso nur recht schwer starten wenn kein WINE installiert ist 😉

    aber darum geht es garnicht, weil man da einfach das execution recht wegnimmt und gut ist. es geht um illegale sachen.

    und dateiendungen sind schall und rauch, genauso wie mime typen - die sagen nichts aus, sie sind nur erfunden worden um die handhabung der dateien zu erleichtern.



  • Unix-Tom schrieb:

    500kb ist auch kein Hindernis.
    Egal welche größe man nimmt. Uploader erstellen die Packete so das sie passen
    Man könnte aber z.B. die Anzahl Dateien und die größe limitieren. Aber auch das wird ausgehebelt indem man eben viele Accoutns erstellt. Da gibt es dan Scripter die ein Auto-Script für Accounterstellung schreiben.

    Das bezweifle ich stark, die meisten machen was dagegen, z.B. eine Kombination aus einem Bild lesen (im ild sind die Zeichen natürlich verzerrt, von Linien überzeichnet, etc.)... Das könnte er noch mit einbauen und eine Limitierung der Anzahl/Größe der Dateien, dann hat er zumindest versucht sich gegen illegale Sachen zu wehren, das reicht dem Gesetzgeber schon aus, dass er keine Verantwortung mehr trägt. Dann noch eine AGB drüber, in der steht, dass er _keine_ Verantwortung für die Dateien, die per Share-Script hochgeladen werden, übernimmt, und er ist perfekt gerüstet und muss sich vor nichts fürchten.


  • Mod

    Windoof schrieb:

    Das bezweifle ich stark, die meisten machen was dagegen, z.B. eine Kombination aus einem Bild lesen (im ild sind die Zeichen natürlich verzerrt, von Linien überzeichnet, etc.)...

    Ist knackbar. Recht simpel sogar, wenn man eine ordentliche community hat.

    Das könnte er noch mit einbauen und eine Limitierung der Anzahl/Größe der Dateien, dann hat er zumindest versucht sich gegen illegale Sachen zu wehren, das reicht dem Gesetzgeber schon aus, dass er keine Verantwortung mehr trägt.

    Mag sein, aber wirklich gegen missbrauch geschützt ist es trotzdem nicht.

    das einzige was sich wirklich bringt ist das was angelfire macht: brutales löschen so schnell wie möglich.

    bedenke auch: durch diese massnahmen schadest du ja wiederum deinen kunden, was auch wiederum nicht ideal 😞

    Dann noch eine AGB drüber, in der steht, dass er _keine_ Verantwortung für die Dateien, die per Share-Script hochgeladen werden, übernimmt, und er ist perfekt gerüstet und muss sich vor nichts fürchten.

    Naja, so eine AGB zählt nicht. Du kannst dich von der Verantwortung nicht frei sprechen.

    Aber das hauptproblem sehe ich sowieso eher in dem missbrauch der resourcen. Denn so ein paar Pornos können schnell ordentlich traffic verursachen, weil plötzlich sich 1000 Leute dieses 1 MB ziehen.

    warez ist hier nicht so gefährlich, weil da die dateien groß sind - da kann man mit 30 MB fast nichts anfangen. 30MB pornos dagegen sind verdammt viel und das wird dann in massen gesaugt...

    dafür wird für pornos meistens nicht so ein aufwand betrieben es zu vertreiben wie bei warez.



  • @Shade: aha bist wohl kenner der szene wie 😉 :p 🙄


  • Mod

    C-O-M-M-A-N-D-E-R schrieb:

    @Shade: aha bist wohl kenner der szene wie 😉 :p 🙄

    Kenner? Ich _bin_ die Szene (ich lade jeden Porno gleich 1000 mal runter, damit es so aussieht als würden sich so viele dafür interessieren) 🤡
    Aber sag das bloß nicht weiter, sonst ist mein Image im Arsch
    😃 😃


Log in to reply