Development #6829: Blacklist de types de fichiers - w.c.s. - Redmine Entr’ouvert

Development #6829

Blacklist de types de fichiers

Ajouté par Frédéric Péters il y a environ 9 ans. Mis à jour il y a environ 4 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Version cible:

Début:

25 mars 2015

Echéance:

% réalisé:

Temps estimé:

Patch proposed:

Oui

Planning:

Non

Description

On pourrait maintenant utiliser la gestion des types de fichiers lors de l'upload pour blacklister par défaut (débrayable par l'admin via le site_options.cfg) une série de types de fichiers (genre .php, type de fichier reçu à Vincennes).

De Victor sur la liste :

des trucs crasseux que des gens pas gentils pourraient avoir envie d'essayer d'executer sur le serveur.

Fichiers

0001-general-blacklist-some-file-types-for-upload-6829.patch (3,3 ko) 0001-general-blacklist-some-file-types-for-upload-6829.patch

Frédéric Péters, 25 janvier 2020 16:50

Révisions associées

Révision 10bec6f6 (diff)
Ajouté par Frédéric Péters il y a environ 4 ans

general: blacklist some file types for upload (#6829)

Historique

Mis à jour par Frédéric Péters il y a environ 4 ans

Fichier 0001-general-blacklist-some-file-types-for-upload-6829.patch 0001-general-blacklist-some-file-types-for-upload-6829.patch ajouté
Statut changé de Nouveau à Solution proposée
Patch proposed changé de Non à Oui

Mis à jour par Nicolas Roche il y a environ 4 ans

Statut changé de Solution proposée à Solution validée

Ce patch pour refuser l'upload des fichiers sur lequel le type mime 'application/x-ms-dos-executable'
est détecté, ou sur ceux aillant les extensions '.exe', '.bat', '.com', '.pif', '.php', '.js'.
Ce comportement se change dans /var/lib/wcs/wcs.dev.publik.love/site-options.cfg :

[options]
blacklisted-file-types = .cow, .bof, application/pdf

L'extension vient en renfort du type mime et donc ma remarque est peut-être superflue,
mais (à priori) les fichiers windows sont nommés en majuscule, donc peut-être aussi être également insensible à la casse :

if (os.path.splitext(self.value.base_filename)[-1].upper() in [x.upper() for x in blacklisted_file_types]
    or ...:

Mis à jour par Frédéric Péters il y a environ 4 ans

Statut changé de Solution validée à Résolu (à déployer)

Yep, poussé en tapant un .lower().

commit 10bec6f636d86fdaefb744e203516a96e28bd3e2
Author: Frédéric Péters <fpeters@entrouvert.com>
Date:   Sat Jan 25 16:49:20 2020 +0100

    general: blacklist some file types for upload (#6829)

Mis à jour par Frédéric Péters il y a environ 4 ans

Statut changé de Résolu (à déployer) à Solution déployée

Formats disponibles : Atom PDF

Projet

Général

Profil

Produits Entr'ouvert » w.c.s.

Demandes

Rapports personnalisés