- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Если сервер + кмс более менее настроены для предотвращения этого, то вряд ли.
Но ведь "вряд ли" != 100%
Но, и проверять надо:
Об том и речь.
(И это ещё не было разговора за встраивание кода в изображения.. ;) )
Но ведь "вряд ли" != 100%
Там, не !=100, но близко.
не было разговора за встраивание кода в изображеия..
Тут и гугла инструмент неожиданный результат дает - обработай все загруженные картинки и бонусом к пузомеркам, получишь безопасные картинки.
грузи картинки на отдельный сервер, например selectel, копейки стоит
если нет, то есть только один вариант обезопаситься
загружай картинку, бери её размеры, создавай картинку размером меньше в рандомно раз, например на 1.4 % или 2,45 % и так далее, то есть каждый раз рандомно немного уменьшай пропорционально размер
и заноси на неё загруженную картинку
загружённую картинку удаляй
нужно оооооочень постараться чтобы код запихать в картинку и запустить
грузи картинки на отдельный сервер, например selectel, копейки стоит
если нет, то есть только один вариант обезопаситься
загружай картинку, бери её размеры, создавай картинку размером меньше в рандомно раз, например на 1.4 % или 2,45 % и так далее, то есть каждый раз рандомно немного уменьшай пропорционально размер
и заноси на неё загруженную картинку
загружённую картинку удаляй
нужно оооооочень постараться чтобы код запихать в картинку и запустить
У меня и так все храниться в AWS S3 Bucket
Играться с размерами не могу - работа с документами где строгая привязка к координатам полей.
Поверх проверки типа будет еще вирускан миддлварей висеть
Там, не !=100, но близко.
Немножко беременна :)
В вопросах безопасности если такой шанс присутствует - это уже дыра, которую надо латать/защищаться от её использования.
Тут и гугла инструмент неожиданный результат дает - обработай все загруженные картинки и бонусом к пузомеркам, получишь безопасные картинки.
Но, и проверять надо
Конечно, и как раз МИМЕ похоже для меня самый актуальный и простой вариант.
Вообще это требование заказчика. И скорее для того, чтобы не кидали мусор в хранилище. Потому что не могу представить сценарий, по-которому загруженный файл сможет что-то поломать. При попытке его загрузить он просто не отобразится
Потому что не могу представить сценарий, по-которому загруженный файл сможет что-то поломать. При попытке его загрузить он просто не отобразится
Именно так мой первый проект и взломали, закинули шелл, изменили доступ, базу данных и всё, скрипт сайта, база в распоряжении взломщиков.
Именно так мой первый проект и взломали, закинули шелл, изменили доступ, базу данных и всё, скрипт сайта, база в распоряжении взломщиков.
Это в очередной раз показывает твой уровень. Если ты не можешь разграничить доступы, сделать безопасную загрузку и прочее - о чем говорить.
В моем случае все будет работать на AWS. Советую посмотреть в него
Конечно, и как раз МИМЕ похоже для меня самый актуальный и простой вариант.
В любом случаи проверки МИМЕ будет достаточно.
Этот фейкосервис не имеет никого отношения к процитированному тобой (ака о встраивании кода в изображения.
После того, как гугла пнул оптимизировать картинки, со временем все станут это делать. => процесс загрузки картинки, станет несколько сложней чем
5 минут и вот
Допишем в картинко код.
Оно (код), ищется в картинко. Джипег прекрасно открывается.
Сжимаем.
Кода нет нигде. Повторю, что нужно всего 5 минут на эксперимент.
Так что, обработка картинки перед сохранением на сервере (что придется делать в рамках выполнения требований гугла по скорости загрузки) поможет и с безопасностью. При этом градус фанатизма можно и повысить - картинку в вебп и обратно в джипег/пнг.