sicherer Frontend-Upload mit Virenschutz und ohne Timeout -> Lösung SFTP?

[petra]

Auf einer mit SSL und Login geschützten/sicheren Seite gibt es ein Formular mit einem Datei-Upload. Soweit so gut. Der Upload kann ca. 350 MB betragen und auf dem Server habe ich entsprechende Werte hochgesetzt, damit es kein Timeout gibt.
Nun hat sich aber noch ergeben, dass die Datei zusätzlich auf Viren untersucht werden soll. Laut Provider passiert das serverseitig nur mit FTP.
Außerdem können die Uploads aus Ländern mit langsamer Internetverbindung erfolgen. Nachdem aufgrund der langsamen Internetverbindung ein Timeout aufgetreten war, hat der Provider etwas an den Proxyeinstellungen geändert und danach klappte es wieder. Allerdings bin ich verunsichert - da das Projekt gerade erst anläuft - dass weiterhin Timeouts kommen könnten, wenn jemand eine noch langsamere Leitung hat oder die Datei 500MB groß ist.

Daher bin ich auf die Lösung des Uploads per PHP mit FTP bzw. SFTP gestoßen: Damit würden die Dateien auf Viren geprüft und ein Timeout würde keine Rolle spielen. Die Erweiterung x_ff_ftp_upload (https://contao.org/de/extension-list...000009.de.html) würde nach einem kurzen Test scheinbar auch funktionieren und man könnte sie bestimmt auf SFTP umschreiben, aber wäre das der richtige Weg? Da das Formular noch weitere Felder beinhaltet und die Werte in die Datenbank geschrieben werden, würde die Formularverarbeitung ja dann nicht mehr so schön zusammenspielen, um es mal grob auszudrücken. Daher meine Frage: Kennt sich jemand damit aus bzw. hat einen Tipp für mich? Wäre für jeden Hinweis wirklich sehr dankbar!

Viele Grüße, Petra

[kayyy]

Was hat denn sFTP mit einen Virus Scan zu tun ?
Mit SFTP gehst du ja lediglich mit einem ssh key auf den FTP und nicht mit einem Passwort.

Die Verbindung ist hier demnach also sehr viel sichererer, da man ohne diesen SSH Key nicht auf den FTP Server kommt.

Einen Virus Scan kannst du Serverseitig ausführen.
Hier einmal ein kleines Beispiel: http://www.solidservers.ca/2009/04/h...n-ftp-uploads/

Einen Timeout kannst du bspw. mit einem Ajax Uploader mehr oder weniger verhindern.
So wird die Datei entsprechend auf den Server geladen, ohne das die Seite lädt und lädt und lädt und peng der Timeout kommt.

[petra]

Hallo kayyy,

vielen Dank für Deine ausführliche Antwort! Du hast vielleicht gemerkt, dass ich mich mit der Materie nicht sooo gut auskenne.

Also der Providersupport sagte, dass die Daten bei FTP-Übertragung auf Viren gerprüft werden, da dachte ich, dass das dann bei SFTP auch sei. SFTP war meine Wahl, weil die Daten relativ sicher auf den Server kommen sollten.
Dein Link für einen serverseitigen Virusscan wäre dann ja auch per FTP-Upload?!

An einen Ajax Upload hatte ich noch gar nicht gedacht, vielleicht wäre das wirklich die Lösung, um ein Timeout zu verhindern. Ich werde es ausprobieren.

[Spooky]

Einen Virus Scan kannst du Serverseitig ausführen.
Hier einmal ein kleines Beispiel: http://www.solidservers.ca/2009/04/h...n-ftp-uploads/

Das muss sie ja nicht mehr machen, das wird ja bereits gemacht. So interpretiere ich zumindest die Aussage des Providers.

Um das Ganze nicht nur per SFTP oder FTP Upload anstoßen zu können, müsste man schlicht und einfach nach dem Upload per PHP den Scan anstoßen. Etwa in dieser Art:

PHP-Code:

// config.php
$GLOBALS['TL_HOOKS']['postUpload'][] = array('MyClass', 'myPostUpload');
 
// MyClass.php
public function myPostUpload($arrFiles)
{
    shell_exec('run-scan.sh');
} 


[petra]

Hallo Spooky,

vielen Dank für Deine Antwort! Und genau, ich würde gerne den (S)FTP-Upload umgehen...naiv gefragt: Ist es nicht schon zu spät, den Virenscan nach dem Upload durchzuführen?

[Spooky]

Beim FTP Upload passiert auch nichts anderes. Die Datei landet am Server, dann wird sie gescanned. Wenn sie als schlechte Datei erkannt wird, wird sie wieder gelöscht/verschoben.

[petra]

Ah ok, vielen Dank Spooky! Das war mir bisher nicht so klar, aber ja, klingt logisch