J'ai un système dans lequel les utilisateurs peuvent télécharger, bien, tout ce qui - et ces fichiers sont disponibles pour les autres utilisateurs.
Je dois trouver une liste de types de fichiers qui sont véritablement nécessaires par Les professionnels de différentes industries qui sont à l'abri de piratage / virus, etc.
.doc .docx .docx .jpg .jpeg .mpg .Ort .Odt .Odt .p .pptx .ppt .txt .xls .xlsx .xlsx .wav
quels autres types de fichiers connaissez-vous à la fois utile et sûr?
Beaucoup de commentaires et de réponses demandent une définition plus claire de «Sécurité du piratage / virus» - Je pose la question avec précisément que le niveau de détail, car je n'ai pas aussi sophistiqué de compréhension des types de fichiers et de leurs risques. Comme beaucoup d'entre vous, et j'aimerais des conseils sur 1) tous les types de fichiers pouvant conserver mon site plus sécurisé, et 2) s'il y a pas de types de fichiers aucun conseil sur la manière de avancez avec un système permettant le téléchargement et le partage flexibles des fichiers.
Si même un fichier malveillant peut être emballé comme un fichier apparemment sécurisé, comment puis-je protéger mes utilisateurs?
7 Réponses :
Vous ne pouvez pas supposer que tous les fichiers avec une extension donnée sont à l'abri des «virus».
Je peux facilement renommer un exécutable malveillant sur EDIT:
Il n'y a pas de moyen (simple?) de vérifier si un fichier téléchargé utilisateur est malveillant ou non.
L'application que vous créez n'est pas différente de tout autre site Web de partage de fichiers (Rapidshare, Megaupload, etc.).
Il n'y a rien d'empêcher de télécharger des fichiers malveillants sur ces sites Web. .doc et "hack" votre système.
@Ryanprayogo - Merci pour votre réponse! Je comprends que cela peut être plus difficile que je prévoyais - comment alors les sites comme Rapidshare et Megaupload traitent de ces fichiers malveillants?
@sscirus Ils ne le font pas, beaucoup de virus sont répartis dans ces sources de téléchargement.
@Chad, @ryAnprayogo - Y a-t-il un moyen de permettre à un utilisateur d'un site Web de partager un fichier avec un groupe limité d'autres utilisateurs? Y a-t-il littéralement aucun moyen sûr de faire cela, Nomterter comment restreint?
@sscirrus Vous pourriez avoir un côté serveur exécutant AV qui scanne tous les fichiers entrants.
Je ne peux penser à aucune méthode autre que ce que @Chad mentionné, c'est-à-dire exécutant AV sur votre serveur qui analyse tous les fichiers entrants.
@Chad, @RYANPRAYGOGO - espérons-le la dernière question à ce sujet: Comment AV peut-il être mis en place sur Heroku?
@sscirus qui est une question pour défaut de serveur , pas trop de pile.
Partagez les fichiers sur un compte Dropbox (ou similaire). Bien sûr, avant de l'utiliser, vous devrez toujours vérifier si un fichier est malveillant ou non, mais les risques de fichiers malveillants ne sont plus sur votre serveur.
La liste est assez finale! Une recherche rapide trouve http://filext.com/alphalist.php?extStart= !// a>
Il demande une liste d'extensions de fichier "sûres", pas toutes les extensions de fichier "possibles"
@juandg OP demande également une liste de types de fichiers qui sont véritablement nécessaires par des professionnels. Dépend de quel domaine vous êtes dans, pourrait être quelque chose de vraiment
non Filetype est sûr si le programme que vous utilisez pour l'ouvrir est mal (ou négligemment ou mal-y) écrit.
Pour "utile", vous devrez demander à vos clients.
Pour le coffre-fort, il n'y a rien de tel car une extension de fichier ne fait qu'une partie du nom de fichier qui donne une suggestion
Eh bien, vous pouvez inclure tous les fichiers data et désexclure tous les fichiers exécutables / script.
Une liste des extensions de fichiers exécutables est ici: http://pcsupport.about.com/ OD / TIPSRICKS / A / EXECFILEEXT.HTM
Vous pouvez paraître d'autres sources pour augmenter la couverture.
Edit: Pour la deuxième partie de la question adressant à Sekurity-
Il serait préférable d'avoir une bouquet de logiciels anti-malware installé sur le serveur pour vérifier chaque sombrement - ils sont conçus pour cette tâche spécialisée, utilisez-les. En tout cas, aucun fichier exécutable n'est professionnel utile tant que les personnes ne recherchent pas de crackware.
"Sécurité" fait mal est pire que de ne rien faire, car cela donne un faux sentiment de sécurité. Particulaire naïf est la tentative de protéger les utilisateurs du fichier nocif contenu en regardant le fichier nom . Il n'a pas encore eu lieu qu'un nom de fichier ait le moindre préjudice, même s'il s'agit de cela à la fois.
Où pensez-vous avoir parlé de la sécurité? La question a deux parties: extensions de fichier et sécurité. J'ai répondu à la première partie seulement.
Pourquoi alors avez-vous donné le conseil "exclure tous les fichiers exécutables"?
Et la sécurité peut être faite facilement en ayant des tonnes de logiciels anti-malware installé sur le serveur spécialisé dans ce type de tâche au lieu d'avoir une logique de poisson personnalisée à odeur Contenu de fichier.
Q: Pourquoi alors avez-vous donné le conseil "Exclure tous les fichiers exécutables"? R: Pour les fichiers utiles de manière professionnelle - je ne pense pas que quiconque soit intéressé par les exécutables, à moins qu'ils recherchent des fichiers CrucWare et des fichiers de données soient rarement nommés comme importateursDocument.exe
plutôt que de protéger en fonction du type de fichier. J'aurais une tierce partie à un virus scanner chaque fichier sur le téléchargement. Rejeter ceux qui sont identifiés comme positifs.
Connaissez-vous des exemples de ces 3e parties qui pourraient faire cette analyse? Comment s'intégreraient-ils dans Heroku?
Les fichiers sûrs n'existent pas. Le fichier texte ordinaire est sécurisé? Par exemple, avec contenu:
format c:
"Safe du piratage / virus"? Qu'est-ce que ça veut dire? Si vous pensez que ".doc" ou ".xls" sont à l'abri des virus, vous devrez fournir une définition de ce que vous pensez "à l'abri des virus".
Vous ne pouvez pas supposer qu'un fichier est en sécurité avant de vérifier le contenu du fichier, en fait .Docx, pptx et .xslx sont des fichiers .zip en dessous. Allez-y et renommez-les .zip et ouvrez-les ... En outre, certains exploits de systèmes d'exploitation majeurs ont été réalisés via des fichiers image (.gif .jpg .jpeg .tif .tiff) et qu'il ne doit pas mentionner le très dangereux MS Office fichiers (.doc .docx .pps .pptx .xls .xlsx). Il n'y a pas trop longtemps, l'un des exploits que l'iPhone a permis d'être jailBroken était via un bogue sur le système de rendu de .tiff
Il suffit de bloquer .virus. Ça va le faire
@Juandg - Merci pour l'une des réponses les plus utiles ici. Étant donné que presque tout fichier peut apparemment être utilisé pour organiser une attaque, quelle est la meilleure pratique pour les pièces jointes de vérification dans un site Web? Si je ne peux pas utiliser le type de fichier, alors que dois-je utiliser?
Les fichiers Old Office (.doc, .ppt, .xls) sont dangereux, mais Microsoft s'est efforcé de s'assurer que les nouvelles variations sont sûres. Les feuilles de calcul Excel modernes (.xlsx) par exemple ne contiennent pas de macros. Les macros sont stockées dans des fichiers séparés (.xlsm).