• Wenn du hier im Forum ein neues Thema erstellst, sind schon Punkte aufgeführt die du ausfüllen musst. Das dient im Allgemeinen dazu die notwendigen Informationen direkt mit der Frage bereitzustellen.
    Da in letzter Zeit immer wieder gerne das Formular gelöscht wurde und erst nach 3 Seiten Nachfragen die benötigten Infos für eine Hilfe kommen, werde ich nun jede Fragestellung die nicht einmal annähernd das Formular benutzt, sofort in den Sondermüll schicken.
    Füllt einfach die abgefragte Daten aus und alle können euch viel schneller helfen.

Avatar Speicherort

michael24179

michael24179

Bekanntes Mitglied
Lizenzinhaber
Registriert
2. Jan. 2016
Beiträge
72
Punkte
48
Ich habe gesehen das die Avatars im öffentlichen www abgelegt werden. Persönlich finde ich es ein Risiko da User so bequem Hacks einschleusen können. Besteht die Möglichkeit die Avatars in der SQL abzulegen oder in einen nicht öffentlichen Bereich ?
 
Wenn das so bequem gehen soll wundere ich mich das das bisher noch keiner gemacht hat. Wie willst du die Avatare denn in einem "nicht öffentlichen Bereich" ablegen und dann trotzdem jedem das hochladen und anschauen erlauben?

Ich muss zugeben dein Beitrag verwirrt mich ein wenig..
 
Wie das geht war easy. Avatar wurde hochgeladen und über ein Befehl in php geändert. Das Avatar hatte es in sich. Seither speichere ich alles in der SQL. In ein nicht öffentliches Verzeichnis die Bilder zulegen wäre in der tat schwer. SQL wäre hingegen normal kein problem.
 
Ich kann dir trotzdem nicht folgen. Wie soll denn der Befehl in PHP kommen und wie soll dieser ausgeführt werden?

Du könntest ja besonders "gefährdete" Dateitypen verbieten ..
 
McAtze schrieb:
Du könntest ja besonders "gefährdete" Dateitypen verbieten ..
Zum Vergrößern anklicken....

Das wurde auch gemacht. Hacker sind aber flexibel. Leider habe ich den Log nicht mehr, aber die Avatars stehen noch zur Verfügung.

Das vorgehen war eigentlich einfach, Avatar wurde als JPG hochgeladen. Anschließend wurde das Avatar direkt aufgerufen mit einer extra Befehlszeile (php%00.rar). Das Avarar hatte sich dann selbst zu PHP umgeschrieben. Damit standen alle Türen offen.

Mir ist bewußt das es durch eine Sicherheitslücke im Nginx möglich war. Diese sind auch derzeit alle geschlossen, aber man muss sich eingestehen, das es auch zukünftig Lücken geben wird und Avatars dann wieder die Möglichkeit zum Hacken bieten.

Das speichern in der SQL Datenbank wäre daher meiner Meinung nach deutlich sicherer. Die Query abfrage mehr kann ich dabei verkraften.
 
Höre ich zum ersten Mal von dieser Sicherheitslücke. Schon mal bei xenforo.com angefragt deswegen?
 
Es war noch unter vBulletin. Aber ein Unterschied würde es bei xenforo so nicht geben. Die Tage werde ich dazu mal bei xenforo meine Sorge vortragen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben