Безопасность vs usability
28 мая 2008 в 16:13
Есть многопользовательский сайт туристической направленности. С недавнего времени пользователи начали жаловаться на то что крайне не удобно вставлять изображения с других хостов указывая полный путь, а не загружая на сервер. Хотят доступ к imce вообщем.
Я согласен, что не удобно, а для некоторых просто не возможно и некоторые вообще постят без img и на сайте не itшники сидят для них такой подход, как железный занавес, но и безопасность никто не отменял. Пытаюсь найти у этого замкнутого круга начало)
- Блог
- Войдите или зарегистрируйтесь, чтобы отправлять комментарии
Комментарии
вы слишком помешаны на безопасности - вот оно, это начало.
Имце как будт опозволяет картинки раздельно хранить - для каждого пользователя.
Stalker-g2, +1
перечитал ещё раз.
какой же это БРЕД - в наш век вёб-два-ноль не разрешать загружать пользователям картинки на сайт.... и называть это безопасностью.... ужас
to Stalker-g2: скажите это админам drupal.ru
Тэг IMG ограздо опанснее - и на Drupal.ru был случай
А IMCE не так опасен - там ведь есть ограничение на закачку файлов по расширению. И PHP в files/ всёравно не выполняется.
vrazbros, а что, нельзя тут загружать?
Можно конечно прикрепить новый файл и потом используя url вставить img в пост, но мне этот вариант не нравится, слишком много лишних движений. Решение с imce мне кажется лучше.
Есть ещё вариант с Image Assist
К моему предыдущему посту, такая конфигурация как сделано сейчас на drupal.ru мне кажется не очень удобной, но и сделано это наверняка не просто так.
Третий результат в поиске по Image Assist: XSS уязвимость в Image Assist
Но все равно спасибо посмотрю.
>>но и сделано это наверняка не просто так
Ох, как вы ошибаетесь...
это сделано именно так, потому что это легче всего
выкладывать сайт в интернет вообще не безопасно.