Upload fichiers par user et problématique virus ?

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par Zecat, 20 Septembre 2012.

  1. Zecat
    Zecat WRInaute accro
    Inscrit:
    1 Mars 2005
    Messages:
    9 119
    J'aime reçus:
    1
    Si un site permet aux users d'uploader différehts types de fichier (jpg mais aussi pdf, txt, zip, word, etc), quid de la problématique virus ? Quelle est la principe habituel de traitement de cet aspect ?

    - Au niveau du serveur ?
    - Au niveau du code ?
    - Zippage à la volée des doc ?
     
  2. e-kiwi
    e-kiwi WRInaute accro
    Inscrit:
    23 Décembre 2003
    Messages:
    13 200
    J'aime reçus:
    1
    salut,

    selon moi, forcement au niveau du serveur
     
  3. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 134
    J'aime reçus:
    325
    +1, un daemon sur le serveur.
     
  4. Zecat
    Zecat WRInaute accro
    Inscrit:
    1 Mars 2005
    Messages:
    9 119
    J'aime reçus:
    1
    Ca fonctionne comment ? C'est purement serveur ou il y a une api qui permet au php de recevoir l'info "upload rejeté" ...

    Le principe dans mon code actuellement :

    1 - un bouton parcourir
    2 - je recupere le chemin vers le doc sur la machine locale
    3 - au clic sur le ok je vais chercher le doc et je l'ecris dans un repertoire sur le serveur
    4 - je mémorise différent parametres sur cet upload pour utilisation ulterieur (date, type, taille etc)

    Et donc si le fichier est vérolé, que fait daemon ? et suis je informe pour par exemple ne pas faire l'étape 4 ?
     
  5. Zecat
    Zecat WRInaute accro
    Inscrit:
    1 Mars 2005
    Messages:
    9 119
    J'aime reçus:
    1
    Question subsidiaire : est ce que si je zip à la volée tout doc uploadé et que je ne conserve que le doc .zip sur mon serveur, est ce que ca apporte une protection (de mon serveur en tout cas à défaut de celle du user qui va uploader ?)
     
  6. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 134
    J'aime reçus:
    325
    Si zip était un outil de sécurité ça se saurait :lol:
     
  7. Zecat
    Zecat WRInaute accro
    Inscrit:
    1 Mars 2005
    Messages:
    9 119
    J'aime reçus:
    1
    ouep mais je me disais :

    1 - si un doc contient une cochonnerie et qu'il est stocké tel quel sur le serveur, sa simple ouverture ouvre la porte au vilain qui sommeillait inside ...
    2 - Donc le fait de l'ncapsuler en .zip ajoute une couche
    3 - Du coup, moins de risque sur mon serveur
    4 - Ensuite lors du dowload par un user, le zip facilite la chose
    5 - Ensuite si il dezippe sur sa machine locale, c'ets chez lui

    C'ets pour cela que je parlais de protection de mon serveur ...
     
  8. AnTaReS7364
    AnTaReS7364 Nouveau WRInaute
    Inscrit:
    5 Juillet 2005
    Messages:
    15
    J'aime reçus:
    0
    Salut,

    Je pense que la question à se poser c'est vraiment si tu veux protéger ton serveur ou tes utilisateurs.
    Ton serveur, la seule chose qui risque de lui nuire, c'est un fichier PHP que l'attaquant enverrait sciemment et pourrait ensuite lancer pour exécuter du code malveillant sur ton site. Un bon .htaccess et le problème est réglé.
    Ou alors passer par un tiers qui gère juste l'upload du fichier pour que le fichier ne transite pas par ton serveur (mais bon ça dépend ce que tu veux en faire derrière !).

    Côté utilisateur, si tu veux vraiment les protéger, il faut filtrer en fonction de l'extension pour n'autoriser que des fichiers neutres (en gros, les images). Si tu dois accepter plus de formats, tu peux utiliser un antivirus comme ClamAV qui est très répandu sur les serveurs web. Mais c'est jamais fiable à 100%.

    Bon courage !
    A+

    EDIT : désolé Spout j'avais pas vu que tu donnais un lien vers ClamAV !!
     
Chargement...
Similar Threads - Upload fichiers user Forum Date
Empêcher l'upload de gros fichiers? Développement d'un site Web ou d'une appli mobile 27 Mai 2015
Migrer un siteweb sans uploader les fichiers Administration d'un site Web 6 Mai 2015
Uploader gros fichiers sur serveur mutualisé Développement d'un site Web ou d'une appli mobile 29 Avril 2011
Un super script de multiupload de fichiers Développement d'un site Web ou d'une appli mobile 18 Novembre 2008
FilzUp - L'upload de fichiers gratuit et simple ! Demandes d'avis et de conseils sur vos sites 29 Juin 2008
A propos des scripts d'upload de fichiers Développement d'un site Web ou d'une appli mobile 21 Mars 2007
[PHP low] Uploader des fichiers Développement d'un site Web ou d'une appli mobile 22 Février 2007
Easy-Upload, Upload de fichiers Gratuite... Demandes d'avis et de conseils sur vos sites 3 Février 2007
Sécurité de répertoires et upload de fichiers Administration d'un site Web 11 Novembre 2006
Apache ne veut pas uploader, les fichiers, est ce normal ? Administration d'un site Web 13 Septembre 2006
[Réglé] Upload de fichiers : problème avec 1and1 Administration d'un site Web 13 Août 2006
Upload de fichiers Développement d'un site Web ou d'une appli mobile 6 Janvier 2006
Upload de fichiers incomplets Administration d'un site Web 12 Septembre 2005
Pb de d'upload de fichiers à partir d'une url Administration d'un site Web 5 Février 2005
Fractionner un fichier uploadé (slice/chrunk) Développement d'un site Web ou d'une appli mobile 2 Octobre 2020
Contrat cession droit image upload formulaire de mon site Droit du web (juridique, fiscalité...) 2 Avril 2020
Script upload photo : Retournement d'images Développement d'un site Web ou d'une appli mobile 12 Janvier 2017
problème upload image Développement d'un site Web ou d'une appli mobile 8 Novembre 2016
Upload d'image Droit du web (juridique, fiscalité...) 23 Février 2016
Upload via Ajax et limitation post_max_size (php.ini) Développement d'un site Web ou d'une appli mobile 11 Février 2016