Upload fichiers par user et problématique virus ?

[Zecat]

Si un site permet aux users d'uploader différehts types de fichier (jpg mais aussi pdf, txt, zip, word, etc), quid de la problématique virus ? Quelle est la principe habituel de traitement de cet aspect ?

- Au niveau du serveur ?
- Au niveau du code ?
- Zippage à la volée des doc ?

 

[e-kiwi]

salut,

selon moi, forcement au niveau du serveur

 

[spout]

+1, un daemon sur le serveur.

 

[Zecat]

Ca fonctionne comment ? C'est purement serveur ou il y a une api qui permet au php de recevoir l'info "upload rejeté" ...

Le principe dans mon code actuellement :

1 - un bouton parcourir
2 - je recupere le chemin vers le doc sur la machine locale
3 - au clic sur le ok je vais chercher le doc et je l'ecris dans un repertoire sur le serveur
4 - je mémorise différent parametres sur cet upload pour utilisation ulterieur (date, type, taille etc)

Et donc si le fichier est vérolé, que fait daemon ? et suis je informe pour par exemple ne pas faire l'étape 4 ?

 

[spout]

http://lindev.fr/index.php?post/2010/03/23/PHP-et-Clamav
http://php-clamav.sourceforge.net/

 

[Zecat]

Question subsidiaire : est ce que si je zip à la volée tout doc uploadé et que je ne conserve que le doc .zip sur mon serveur, est ce que ca apporte une protection (de mon serveur en tout cas à défaut de celle du user qui va uploader ?)

 

[spout]

Si zip était un outil de sécurité ça se saurait :lol:

 

[Zecat]

ouep mais je me disais :

1 - si un doc contient une cochonnerie et qu'il est stocké tel quel sur le serveur, sa simple ouverture ouvre la porte au vilain qui sommeillait inside ...
2 - Donc le fait de l'ncapsuler en .zip ajoute une couche
3 - Du coup, moins de risque sur mon serveur
4 - Ensuite lors du dowload par un user, le zip facilite la chose
5 - Ensuite si il dezippe sur sa machine locale, c'ets chez lui

C'ets pour cela que je parlais de protection de mon serveur ...

 

[AnTaReS7364]

Salut,

Je pense que la question à se poser c'est vraiment si tu veux protéger ton serveur ou tes utilisateurs.
Ton serveur, la seule chose qui risque de lui nuire, c'est un fichier PHP que l'attaquant enverrait sciemment et pourrait ensuite lancer pour exécuter du code malveillant sur ton site. Un bon .htaccess et le problème est réglé.
Ou alors passer par un tiers qui gère juste l'upload du fichier pour que le fichier ne transite pas par ton serveur (mais bon ça dépend ce que tu veux en faire derrière !).

Côté utilisateur, si tu veux vraiment les protéger, il faut filtrer en fonction de l'extension pour n'autoriser que des fichiers neutres (en gros, les images). Si tu dois accepter plus de formats, tu peux utiliser un antivirus comme ClamAV qui est très répandu sur les serveurs web. Mais c'est jamais fiable à 100%.

Bon courage !
A+

EDIT : désolé Spout j'avais pas vu que tu donnais un lien vers ClamAV !!