me gustaría crear mi siguiente funcionalidad para la aplicación basada en la web:Carga y extracción de archivos (zip, rar, targz, tarbz) de forma automática - ¿problema de seguridad?
- usuario sube un archivo comprimido (ZIP/RAR/tar.gz/tar.bz etc) (contenido - varios archivos de imagen)
- contenedor se extrae automáticamente después de cargar
- imágenes se muestran en la lista de HTML (cualquiera que sea)
¿hay algún problema de seguridad que participan en proceso de extracción? P.ej. posibilidad de ejecución de código malicioso dentro de los archivos cargados (o archivo de archivo bien preparado), o si no?
Whoa, esa cosa zipbomb parece bastante devastadora;) (http://en.wikipedia.org/wiki/Zip_bomb). ¿Los otros formatos de archivo/algoritmos de extracción son libres de problemas? – gorsky
El propósito de un algoritmo de compresión es comprimir lo mejor posible para que no se considere un defecto en el algoritmo. La entidad que descomprime el archivo debe realizar algunas comprobaciones de cordura sobre el tamaño e impedir la descompresión de archivos sospechosos. –
Con el archivo zip, no se puede determinar con seguridad el tamaño con el que terminará hasta después de haber descomprimido. –