Upload-Feld unsicher!

**cube1893** · 09.03.2011, 09:16

Hallo zusammen,

ich habe gerade getestet, ob man im Upload-Formular eine .exe-Datei, deren Endung einfach in .jpg umbenannt wurde, hochladen kann (eingestellter Datei-Filter: jpg,jpeg,gif,png,pdf).
Und tatsächlich wird das ohne Probleme hochgeladen. Das ist natürlich nicht tragbar, denn so kann man sich alles mögliche ins Haus holen.
Gibt es eine Erweiterung, die diese Prüfung korrekt und zuverlässiger durchführt? Sonst ist das Feld leider nicht zu gebrauchen.

Viele Dank für Eure Antworten!

**andreas.schempp** · 09.03.2011, 12:03

Wenn die Datei .jpg heisst, kann sie nicht ausgeführt werden. Wo liegt das Problem?

**xtra** · 09.03.2011, 12:06

Aeh, alles moegliche ins Haus holen?
Das setzt vorraus, dass diese .exe dann vom "Zielsystem" auch ausgefyhrt werden wyrde, was jedoch nicht passieren wird, da selbiges System versuchen wyrde, die Datei mit einem Image viewer/editor zu oeffnen, welcher das vermeintliche "Bild" als corrupt ablehnen wyrde.

Abgesehen davon kannst du dir eine Erweiterung schreiben, die den MIMEType der Datei bestimmt und nicht den Inhalt anhand der Dateiendung bestimmt.
Wei du die Zuordnung der Dateien zu MIME types dann vornimmst, ist jedoch dann dir yberlassen (mit Dateiendungen geht ja nicht sicher).

Gruss
Chris

**tl_richard_user** · 09.03.2011, 12:28

Ich denke das auch so oder änderst du Dateiendungen (von .jpg zu .exe), um zu sehen, ob das so funktioniert?

**cube1893** · 09.03.2011, 14:21

Zitat von andreas.schempp

Wenn die Datei .jpg heisst, kann sie nicht ausgeführt werden. Wo liegt das Problem?

Zitat von xtra

Aeh, alles moegliche ins Haus holen?
Das setzt vorraus, dass diese .exe dann vom "Zielsystem" auch ausgefyhrt werden wyrde, was jedoch nicht passieren wird, da selbiges System versuchen wyrde, die Datei mit einem Image viewer/editor zu oeffnen, welcher das vermeintliche "Bild" als corrupt ablehnen wyrde.

Das würde ich so nicht unterschreiben. Angenommen, die .exe beinhaltet Schadcode, gibt es sicher Wege und Mittel, dass dieser ausgeführt wird. Google prüft z.B. bei G-Mail Anhängen ganz rigoros, ob eine ausführbare Datei enthalten ist, auch in Archiven. Dort kann man die .exe nicht einfach umbenennen.

Zitat von xtra

Abgesehen davon kannst du dir eine Erweiterung schreiben, die den MIMEType der Datei bestimmt und nicht den Inhalt anhand der Dateiendung bestimmt.
Wei du die Zuordnung der Dateien zu MIME types dann vornimmst, ist jedoch dann dir yberlassen (mit Dateiendungen geht ja nicht sicher).

Genau das war meine Frage, ob es sowas schon gibt

Sonst muss man da eben ran.

Ein weiteres Problem könnte sein, dass in Bild-Dateien, also in prinzipiell korrekte jpg-Dateien, Schadcode eingefügt werden kann. Ob man dann die Integrität der jpg-Datei prüfen kann?!

**Russe** · 09.03.2011, 14:29

Das sollte doch alles durch eine Antivirensoftware abgedeckt sein, oder?

Prinzipiell kann jede Datei Schadcode enthalten, nicht nur JPGs, der funktioniert aber nur wenn das System bzw. das Programm auf dem die Datei ausgeführt wird Sicherheitslücken enthält.

**cube1893** · 09.03.2011, 15:44

Zitat von Russe

Das sollte doch alles durch eine Antivirensoftware abgedeckt sein, oder?

Prinzipiell kann jede Datei Schadcode enthalten, nicht nur JPGs, der funktioniert aber nur wenn das System bzw. das Programm auf dem die Datei ausgeführt wird Sicherheitslücken enthält.

Klar, die AV-Software ist dann natürlich die letzte Instanz, aber ich möchte die Wahrscheinlichkeit reduzieren. Denn so ein ungeschütztes Uploadformular gleicht einer Einladung. Oder lässt du deine Haustüre nachts geöffnet? :-)