Безопасная вставка картинок

Главные вкладки

Аватар пользователя pro-online.ru pro-online.ru 29 марта 2009 в 19:31

Почитал про <img src="/logout" /> и задумался. Есть ли безопасный способ позволить пользователям вставлять изображения в материалы/комментарии? Как бороться конкретно с этой проблемой? Чем еще череповато разрешение использования тега <img>?

У меня используются Image Assist и FCKeditor через Wysiwyg.

Я, к сожалению, не очень хорошо разбираюсь в информационной безопасности, так что, если вопросы дурацкие, прошу ногами не бить.

Комментарии

Аватар пользователя VladSavitsky VladSavitsky 29 марта 2009 в 21:19

Bahiya, и зачем это делать - идите на кошках тренируйтесь, если отключил ваш коммент.
Эта проблема уже обсуждалась и решения предлагались. Если кратко, то нужно разлогинивать не по GET, а по POST-запросу.

Аватар пользователя pro-online.ru pro-online.ru 30 марта 2009 в 16:07

Это вариант, конечно. При этом, правда, мы лишаемся возможности линковать внешние картинки, но это всяко лучше, чем огромная дыра в безопасности.

Что могут напоганить, если все изображения хранятся на нашем сервере? Я помню, когда-то давно были способы атаки через специальным образом сформированный JPEG, например. Как сегодня с этим обстоят дела?

Аватар пользователя pro-online.ru pro-online.ru 4 апреля 2009 в 4:16

Спасибо, я в итоге выбрал именно этот путь. Но возникла неожиданная проблема: вставка при помощи Filter Tag (то, что вы предложили) почему-то работает только при отключении редактора (т.е. приходится жать Disable rich-text, вставлять картинку, потом обратно Enable rich-text). Очень неудобно. Не знаете, в чем дело?

И до кучи: возможно ли функциональность image_assist унести из ссылки под областью редактирования в кнопку на тулбаре редактора?