플래시 업로더 문제.. 정보
플래시 업로더 문제..
본문
비회원 글쓰기가 허용된 게시판에서 플래시 업로더를 쓸 경우,
비 인증 상태에서 파일 업로드가 가능합니다.
(플래시 업로더의 특징상 파일 업로드를 미리 해두는 방식입니다.)
로봇을 이용하여 대량 파일을 잘라서 올려두고, 다운로더 서버로 악용될수 있는 부분입니다.
captcha 인증을 한 상태에서 파일 업로드가 가능하도록 스킨을 수정해야 하지 않을까요?
플래시 업로더 만들다보니 생각이 났네요.
비 인증 상태에서 파일 업로드가 가능합니다.
(플래시 업로더의 특징상 파일 업로드를 미리 해두는 방식입니다.)
로봇을 이용하여 대량 파일을 잘라서 올려두고, 다운로더 서버로 악용될수 있는 부분입니다.
captcha 인증을 한 상태에서 파일 업로드가 가능하도록 스킨을 수정해야 하지 않을까요?
플래시 업로더 만들다보니 생각이 났네요.
추천
0
0
댓글 5개
캐차 인증받고 업로드만 하고 글을 안쓰면 어떻게 되죠???
같은거 아닌가요???
플래쉬 업로더는 보안에 대해서 좀 더 고민이 필요한거 같아요.
제가 chxuploader 재배포 라이센스도 있는데,
그런 문제로 미뤄두고 적용을 안하고 잇습니다.
같은거 아닌가요???
플래쉬 업로더는 보안에 대해서 좀 더 고민이 필요한거 같아요.
제가 chxuploader 재배포 라이센스도 있는데,
그런 문제로 미뤄두고 적용을 안하고 잇습니다.
captcha 를 쓰는 건 로봇의 자동등록을 막자는 의미구요.
그누보드는 파일을 g4_file 테이블에 보관하는 방식이니까. g4_file 에 업로드상태를 설정하는 필드를 추가로 두고, 특정시간(1일)이 지난 임시상태인 파일들을 지워버리면 될것 같습니다.
사전 업로드 방식은 확실히 허점이 많은 방식입니다.
회원만 파일업로드 하는게 정답일거 같습니다.
그누보드는 파일을 g4_file 테이블에 보관하는 방식이니까. g4_file 에 업로드상태를 설정하는 필드를 추가로 두고, 특정시간(1일)이 지난 임시상태인 파일들을 지워버리면 될것 같습니다.
사전 업로드 방식은 확실히 허점이 많은 방식입니다.
회원만 파일업로드 하는게 정답일거 같습니다.
이것도 허점이 되는게, 1일 이내에 사단이 날수 있쟎아요.
예를 들어서 바이러스 배포파일이나 기타 파일을 올려놓구
하루정도만 목적으로 하면 그냥 속수무책이 아닐까요? ㅠ..ㅠ...
예를 들어서 바이러스 배포파일이나 기타 파일을 올려놓구
하루정도만 목적으로 하면 그냥 속수무책이 아닐까요? ㅠ..ㅠ...
네 당연히...
그래서 captcha 를 통과시키고, max_upload_size도 설정하는거 아니겠습니까?
로봇만 막으면 그래도 사단날일이 줄어들겠죠..
플래시 업로드도 로직을 조금 손을 봐야 하는데,
그누보드에 폼값 자동체크하는 거랑 방식이 비슷한데..
form submit이 되기전에 파일 업로드를 시작하고, 업로드가 완료되면 form을 submit() 시켜야 그나마 시간차가 덜 생기겠죠.(이 경우 10분 이내의 파일을 다 지워도 되니까요.)
그래서 captcha 를 통과시키고, max_upload_size도 설정하는거 아니겠습니까?
로봇만 막으면 그래도 사단날일이 줄어들겠죠..
플래시 업로드도 로직을 조금 손을 봐야 하는데,
그누보드에 폼값 자동체크하는 거랑 방식이 비슷한데..
form submit이 되기전에 파일 업로드를 시작하고, 업로드가 완료되면 form을 submit() 시켜야 그나마 시간차가 덜 생기겠죠.(이 경우 10분 이내의 파일을 다 지워도 되니까요.)
플래쉬 배포판을 통해 특정 장치를 더 부가할 수 있죠.
결국 보안 상 아주 치명적인 결과를 가져올 수 있기에 명확하지 않은 자료를 받아서 어태치하는건
심사숙고해봐야할 듯 합니다.
대개 초보자님들이 멋지다고 이거 저거 받아서 붙여놓다가 피를 볼 수 있겠죠...
결국 보안 상 아주 치명적인 결과를 가져올 수 있기에 명확하지 않은 자료를 받아서 어태치하는건
심사숙고해봐야할 듯 합니다.
대개 초보자님들이 멋지다고 이거 저거 받아서 붙여놓다가 피를 볼 수 있겠죠...