WedX - журнал о программировании и компьютерных науках

Как предотвратить загрузку вредоносных программ для сохранения общедоступных изображений в Интернете?

Я хочу разрешить пользователям моего веб-сайта сохранять общедоступные файлы изображений с помощью node.js. Что мне следует сделать, чтобы следовать рекомендациям по безопасному хранению изображений? Как предотвратить загрузку вредоносных программ?

В настоящее время я контролирую следующее:

  • проверить, авторизован ли пользователь
  • размер изображений
  • количество изображений
  • тип изображений

Я хочу разрешить сохранение следующих типов изображений:

image/gif              gif;
image/jpeg             jpeg jpg;
image/png              png;
image/svg+xml          svg svgz;
image/tiff             tif tiff;
image/vnd.wap.wbmp     wbmp;
image/webp             webp;
image/x-icon           ico;
image/x-jng            jng;
image/x-ms-bmp         bmp;

Что еще я должен учитывать, чтобы предотвратить загрузку вредоносных программ?

node.js image security
27.05.2020

Ответы:


1

Вы не поделились подробностями того, как вы разрешите загрузку и как вы это сделаете, но можно дать общий ответ, предполагая, что «проверить, вошел ли пользователь в систему», что в какой-то момент мы говорим о веб-странице. процесса:

Если изображения общедоступны, каждый может их скачать. Вы не можете запретить кому-либо, кто действительно может видеть изображение, загрузить его (поскольку в этот момент изображение уже было передано в браузер клиента).

Общее правило (для тех, кто еще не знал): никогда не размещайте в Интернете изображения, которые вы не хотите распространять в Интернете (или на которые есть авторские права, на которые вы не имеете права). «Сложные решения», такие как попытка отключить правый щелчок на веб-странице, чтобы предотвратить загрузку, могут остановить только очень начинающих. Если вы хотите, чтобы изображение отображалось, оно должно быть доступным и, следовательно, загружаемым.

Что вы можете сделать, веб-сайты со стоковыми фотографиями обычно работают следующим образом: общедоступным и отображается только превью изображения плохого качества (или с большим водяным знаком поверх него). Реальное изображение полного качества является частным и будет загружено путем прямой загрузки файла, когда все ваши проверки будут проверены.

27.05.2020
  • Извините за ошибку, я заменил слово downloading на uploading 27.05.2020
  • Тогда я боюсь, что ваш вопрос становится либо слишком широким, либо теряет больше внимания, люди просто не могут перечислить все меры безопасности, которые можно принять против любого типа атаки, это обширная тема, и многое можно сказать о деталях того, что вы уже введены в действие, в зависимости от деталей вашей реализации. вредоносное ПО может быть здесь слишком расплывчатым, у каждого типа атаки есть свой набор решений, например, вы можете защитить свой собственный скрипт загрузки, но если на сайте/сервере есть другой недостаток, который позволяет кому-то внедрить скрипт на ваш сервер, они могут загрузить дела с ним.. 27.05.2020
    • Новые материалы
    Как проанализировать работу вашего классификатора?
    Не всегда просто знать, какие показатели использовать С развитием глубокого обучения все больше и больше людей учатся обучать свой первый классификатор. Но как только вы закончите..
    Работа с цепями Маркова, часть 4 (Машинное обучение)
    Нелинейные цепи Маркова с агрегатором и их приложения (arXiv) Автор : Бар Лайт Аннотация: Изучаются свойства подкласса случайных процессов, называемых дискретными нелинейными цепями Маркова..
    Crazy Laravel Livewire упростил мне создание электронной коммерции (панель администратора и API) [Часть 3]
    Как вы сегодня, ребята? В этой части мы создадим CRUD для данных о продукте. Думаю, в этой части я не буду слишком много делиться теорией, но чаще буду делиться своим кодом. Потому что..
    Использование машинного обучения и Python для классификации 1000 сезонов новичков MLB Hitter
    Чему может научиться машина, глядя на сезоны новичков 1000 игроков MLB? Это то, что исследует это приложение. В этом процессе мы будем использовать неконтролируемое обучение, чтобы..
    Учебные заметки: создание моего первого пакета Node.js
    Это мои обучающие заметки, когда я научился создавать свой самый первый пакет Node.js, распространяемый через npm. Оглавление Глоссарий I. Новый пакет 1.1 советы по инициализации..
    Забудьте о Matplotlib: улучшите визуализацию данных с помощью умопомрачительных функций Seaborn!
    Примечание. Эта запись в блоге предполагает базовое знакомство с Python и концепциями анализа данных. Привет, энтузиасты данных! Добро пожаловать в мой блог, где я расскажу о невероятных..
    ИИ в аэрокосмической отрасли
    Каждый полет – это шаг вперед к великой мечте. Чтобы это происходило в их собственном темпе, необходима команда астронавтов для погони за космосом и команда технического обслуживания..
    Для любых предложений по сайту: [email protected]