Задать вопрос
@evomed

Безопасно ли загружать docx файлы пользователей на сервер?

Пользователь может загрузить docx файл в Ларавел проекте и потом прочитать его с помощью гугл просмотрщика документов. Т.е. файл доступен публично. Это безопасная история для сервера (с тз вредоносного кода или что там может быть) или стоит хранить такие файлы в облаке?
  • Вопрос задан
  • 423 просмотра
Подписаться 2 Простой Комментировать
Решения вопроса 1
@rPman
Да, для сервера безопасно хранить документы и даже вирусы.

Любой злонамеренный код, что бы заработать, должен быть запущен а документ открыт в просмотрщике, уязвимом к заложенной уязвимости.

p.s. что бы исключить запуск вируса по ошибке администратором сервера, файлы можно хранить на диске с 'техническими' именами (например числовой идентификатор из базы), так как подавляющее большинство приложений (файловые менеджеры, интерфейсы ОС и т.п.) ожидают нужное расширение (часть имени файла с конца с точкой, например ".exe" или в твоем случае ".docx") и/или атрибут файловой системы (linux "x" для скриптов и бинарных файлов)
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
sergey-gornostaev
@sergey-gornostaev
Седой и строгий
Если для вас эти документы просто файлы и вы их никак не обрабатываете, то для сервера безопасно.
Ответ написан
Adamos
@Adamos
Уязвимости воздушно-капельным путем не передаются.
Если документ заражен - это проблема того, кто его откроет уязвимой библиотекой. У себя на компьютере.
Сервер тут ну вообще ни при чем.
Ответ написан
mayton2019
@mayton2019
Bigdata Engineer
Хранить можно все что угодно. Это нормально. Другое дело что перед процессингом
документа очень желательно прогнать антивирусом каждый файл хотя-б один раз.

С точки зрения современной инфо-безопасности docx является опасным. Макросы...
И даже если вы не будете открывать этот файл в Windows а только в pHPOffice - все
равно подстраховаться надо.
Ответ написан
Комментировать
@koder_1
Битрикс программист
Если на сервере хранить загружаемые документы вне разделов, в которых допустима работа php-скриптов, то для сервера безопасно.

Опасность для сервера от документов в том, что можно в документ с любым расширением положить php-скрипт, к примеру, если документ будет лежать там, где php-исполнять запрещено, то в таком случае безопасно.
Ответ написан
Комментировать
Protos
@Protos
Спрашивай - отвечу
Насколько помню, там есть макросы на питоне даже. Сегодня нет сл3чацно обработки, завтра может появиться и то6жа случа1но какой-нибудь процесс запустить файл.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы