Загрузка пользователя .swf и безопасность

Question

У меня есть сайт PHP, и я хочу знать, безопасно ли оно, чтобы пользователи могли загружать файлы .SWF?

Если да, есть ли что-то, что я могу сделать, чтобы сделать его на 100% безопасным?

Answer 1

Вообще говоря, опасно разрешать пользователям загружать любые файлы, потенциально исполняемые в какой-либо форме (будь то бинарные или скриптовые). В зависимости от потребностей пользователей может быть безопасный путь.

Пока пользователям не нужно выполнять .SWF, а просто хранить их, вы можете просто удалить исполняемый бит из файла, пока он сидит на вашем сервере. Таким образом, файл не может быть выполнен на вашем сервере.

Что-то вам нужно будет адресовать, это пользователи, загружающие вредоносные SWF-файлы, которые нацелены на другими пользователями вместо вашего сервера. Даже если вы удалите исполняемые биты, пользователь все равно сможет обмануть другого пользователя при загрузке и выполнении SWF, который хранится на вашем сервере. Чтобы исправить это, вы должны настаивать на том, чтобы пользователи регистрировались для доступа к своим файлам или, по крайней мере, к файлам SWF. Таким образом, без действительного сеанса кто-то не может получить к нему доступ.

Важно, чтобы файлы не выполнялись вашим сервером. Flash известен своими уязвимостями, и вы не хотите получать Pwned от пользователя, который загружает вредоносный SWF для выполнения на ваш сервер.