Процесс, загруженный анимированный gif для обеспечения безопасности

Question

Мы работаем над веб-сайтом, который позволяет анимированную загрузку GIF. Чтобы изображение было действительно изображением и без вредоносного ПО/вируса/бэкдора/трояна или чего-либо иного, кроме самих данных изображения, мы пытаемся воссоздать исходное изображение.

Однако сам процесс займет некоторое время, когда внутри будет много кадров. Есть ли другой способ гарантировать, что загруженный анимированный GIF-файл свободен от проблем, упомянутых выше?

Answer 1

Вы никогда не сможете гарантировать, что файл не содержит вредоносных программ, даже если у вас есть шанс, что gif содержит код, который может быть вредоносным simply by opening the image in a vulnerable viewer.

Это говорит о том, что шансы низкие, и вы можете ожидать, что подобные ошибки будут исправлены довольно быстро в большинстве современных операционных систем.

Существуют различные проверки, которые можно сделать на загруженных файлов, хотя это займет меньше времени обработки:

• Проверьте расширение имени файла, что вы ожидаете - игнорировать content-type на загрузке сцены, хотя, как это может быть подделан.
• Вирус сканирует все загруженные файлы с помощью антивирусного сканера с современными определениями.
• Не храните файлы в том месте, где они могут быть выполнены - например. не сохраняются в корневом каталоге (www.example.com/uploads/image.aspx).
• Служат файлы через программу или скрипт, который считывает их из хранилища как данные, а затем передает данные в браузер.

• При обслуживании файлов убедитесь в правильности content-type, и, если возможно, расширение файла будет установлено правильно. Используйте Content-Disposition установить имя, браузер будет использовать:

  Content-Disposition: attachment; filename="fname.ext"