Development #6829
Blacklist de types de fichiers
Statut:
Fermé
Priorité:
Normal
Assigné à:
-
Version cible:
-
Début:
25 mars 2015
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Oui
Planning:
Non
Description
On pourrait maintenant utiliser la gestion des types de fichiers lors de l'upload pour blacklister par défaut (débrayable par l'admin via le site_options.cfg) une série de types de fichiers (genre .php, type de fichier reçu à Vincennes).
De Victor sur la liste :
des trucs crasseux que des gens pas gentils pourraient avoir envie d'essayer d'executer sur le serveur.
Fichiers
Révisions associées
Historique
Mis à jour par Frédéric Péters il y a environ 4 ans
- Fichier 0001-general-blacklist-some-file-types-for-upload-6829.patch 0001-general-blacklist-some-file-types-for-upload-6829.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Mis à jour par Nicolas Roche il y a environ 4 ans
- Statut changé de Solution proposée à Solution validée
Ce patch pour refuser l'upload des fichiers sur lequel le type mime 'application/x-ms-dos-executable'
est détecté, ou sur ceux aillant les extensions '.exe', '.bat', '.com', '.pif', '.php', '.js'
.
Ce comportement se change dans /var/lib/wcs/wcs.dev.publik.love/site-options.cfg :
[options] blacklisted-file-types = .cow, .bof, application/pdf
L'extension vient en renfort du type mime et donc ma remarque est peut-être superflue,
mais (à priori) les fichiers windows sont nommés en majuscule, donc peut-être aussi être également insensible à la casse :
if (os.path.splitext(self.value.base_filename)[-1].upper() in [x.upper() for x in blacklisted_file_types] or ...:
Mis à jour par Frédéric Péters il y a environ 4 ans
- Statut changé de Solution validée à Résolu (à déployer)
Yep, poussé en tapant un .lower().
commit 10bec6f636d86fdaefb744e203516a96e28bd3e2 Author: Frédéric Péters <fpeters@entrouvert.com> Date: Sat Jan 25 16:49:20 2020 +0100 general: blacklist some file types for upload (#6829)
Mis à jour par Frédéric Péters il y a environ 4 ans
- Statut changé de Résolu (à déployer) à Solution déployée
general: blacklist some file types for upload (#6829)