29 марта 2009 в 19:31
Почитал про <img src="/logout" /> и задумался. Есть ли безопасный способ позволить пользователям вставлять изображения в материалы/комментарии? Как бороться конкретно с этой проблемой? Чем еще череповато разрешение использования тега <img>?
У меня используются Image Assist и FCKeditor через Wysiwyg.
Я, к сожалению, не очень хорошо разбираюсь в информационной безопасности, так что, если вопросы дурацкие, прошу ногами не бить.
Комментарии
Bahiya, и зачем это делать - идите на кошках тренируйтесь, если отключил ваш коммент.
Эта проблема уже обсуждалась и решения предлагались. Если кратко, то нужно разлогинивать не по GET, а по POST-запросу.
Img Assist умеет вставлять картинки тегом на подобие [ img_assist|node=123 ] - вполне себе секурно. И разрешать IMG необязательно.
Это вариант, конечно. При этом, правда, мы лишаемся возможности линковать внешние картинки, но это всяко лучше, чем огромная дыра в безопасности.
Что могут напоганить, если все изображения хранятся на нашем сервере? Я помню, когда-то давно были способы атаки через специальным образом сформированный JPEG, например. Как сегодня с этим обстоят дела?
Спасибо, я в итоге выбрал именно этот путь. Но возникла неожиданная проблема: вставка при помощи Filter Tag (то, что вы предложили) почему-то работает только при отключении редактора (т.е. приходится жать Disable rich-text, вставлять картинку, потом обратно Enable rich-text). Очень неудобно. Не знаете, в чем дело?
И до кучи: возможно ли функциональность image_assist унести из ссылки под областью редактирования в кнопку на тулбаре редактора?
Это была дыра "переполение буфера" во всеми любимом IE 6
В действиях создать проверку на /logout и использовать в триггере при создании ноды.