Dateiformat-Filter: extrem übertrieben!
lima-city → Forum → Sonstiges → Spam und sonstiges Unvergütetes
anbieten
bestes beispiel
datei
einstellung
filter
ftp
genannten effekte
generator
grund
header
http
leute
meldung
ordner
regeln
sagen
server
umgehen
url
zugreifen
-
Der Dateiformatfilter ist ja ok, aber eines ist doch sehr übertrieben:
Wenn man eine Seite aufrufen möchte die nicht existiert, der Ordner, in dem die nicht existierende Datei existiert aber, und die Datei hat eine verbotene Dateierweiterung, bekommt man eine "Forbidden"-Meldung.
Hingegen in einem nicht existierenden Ordner bekommt man eine ganz normale 404-Meldung.
Beispiel: http://hackyourlife.at.tc/nonexistent.zip, http://hackyourlife.at.tc/nonexistent/file.zip
Das sollte sich lima-city sparen!!!!!!
Jetzt könntet ihr natürlich sagen: Dann ist es aber auch möglich auf Dateien mit verbotener Dateierweiterung die irgendwie doch hochgeladen wurden zugreifen zu können.
Wenn die Datei wirklich existiert ist der Filter ja ok.
ABER WARUM NICHT EXISTIERENDE DATEIEN SPERREN?!?!?!
Beitrag zuletzt geändert: 21.2.2012 13:36:24 von hackyourlife -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
hackyourlife schrieb:
Jetzt könntet ihr natürlich sagen: Dann ist es aber auch möglich auf Dateien mit verbotener Dateierweiterung die irgendwie doch hochgeladen wurden zugreifen zu können.
Wenn die Datei wirklich existiert ist der Filter ja ok.
Wenn http://hackyourlife.at.tc/irgendwas.zip nicht wie geplant funktioniert, dafür aber http://hackyourlife.at.tc/verzeichnis/irgendwas.zip das richtige Error-Dokument (404) ausgibt, dann kann es ja nicht daran liegen, dass bei jeder .zip ein 403 (forbidden) kommt, es also an der Einstellung des Server liegt. Sonst würde ja bei jeder *.zip ein 403 ausgegeben werden, was ja nicht der Fall ist. Viel mehr liegt es an deiner .htaccess-Datei? -
trueweb schrieb:
Egal welche Datei: zip,jar,bin,mp3,... alles was halt verboten ist...
hackyourlife schrieb:
Jetzt könntet ihr natürlich sagen: Dann ist es aber auch möglich auf Dateien mit verbotener Dateierweiterung die irgendwie doch hochgeladen wurden zugreifen zu können.
Wenn die Datei wirklich existiert ist der Filter ja ok.
Wenn http://hackyourlife.at.tc/irgendwas.zip nicht wie geplant funktioniert, dafür aber http://hackyourlife.at.tc/verzeichnis/irgendwas.zip das richtige Error-Dokument (404) ausgibt, dann kann es ja nicht daran liegen, dass bei jeder .zip ein 403 (forbidden) kommt, es also an der Einstellung des Server liegt.
Wenn ich hingegen eine erlaubte Dateierweiterung verwende (txt, html, php, ...) funktioniert es ganz normal.
trueweb schrieb:
Es kommt bei jeder Datei, die existieren könnte, weil der dazugehörige Ordner existiert.
Sonst würde ja bei jeder *.zip ein 403 ausgegeben werden, was ja nicht der Fall ist. Viel mehr liegt es an deiner .htaccess-Datei?
MEINE HTACCES IST NICHT SCHULD!!!
Versuch es mit dem Webspace von irgend einem lima-city-Benutzer (z.B. mit deinem eigenen), ohne dort irgend etwas zu verändern.
Beispiel: http://trueweb.lima-city.de/nonexistent.zip, http://trueweb.lima-city.de/nonexistent/file.zip
Wenn es meine htaccess wäre, würde es nur meinen Webspace betreffen!!! -
OK du hast recht - und was ist daran jetzt so unglaublich schlimm, dass man seine Beiträge mit Ausrufezeichenflut, Fettschrift und roten Smileys verunstalten muss?
-
kaetzle7 schrieb:
1. Grund:
OK du hast recht - und was ist daran jetzt so unglaublich schlimm, dass man seine Beiträge mit Ausrufezeichenflut, Fettschrift und roten Smileys verunstalten muss?
Ich will eine 404-Meldung haben wie es sich gehören würde, und keine 403-Meldung, die hier nichts verloren hat, wenn die Datei gar nicht existiert.
2. Grund:
Der Filter wird von euch überbewertet. Wenn sich jemand die Mühe macht, Dateien mit verbotener Dateierweiterung auf den Webspace zu laden, könnt ihr mit eurem Filter machen was ihr wollt, es gibt immer einen Weg den Filter zu umgehen. Warum also so viel Aufwand? Damit meine ich:
1) Dateierweiterungs-Filter am FTP-Server
2) MIME-Type-Filter am FTP-Server
3) Dateierweiterungs-Filter am Webserver, das ist der Filter, der die hier genannten Effekte verursacht.
Alle 3 Filter sind so einfach zu umgehen... wenn ich jetzt hier aber beschreibe wie das geht ist dieser Beitrag sicher sofort wieder gelöscht/zensiert. -
hackyourlife schrieb:
2. Grund:
Der Filter wird von euch überbewertet. Wenn sich jemand die Mühe macht, Dateien mit verbotener Dateierweiterung auf den Webspace zu laden, könnt ihr mit eurem Filter machen was ihr wollt, es gibt immer einen Weg den Filter zu umgehen. Warum also so viel Aufwand? Damit meine ich:
1) Dateierweiterungs-Filter am FTP-Server
2) MIME-Type-Filter am FTP-Server
3) Dateierweiterungs-Filter am Webserver, das ist der Filter, der die hier genannten Effekte verursacht.
Alle 3 Filter sind so einfach zu umgehen... wenn ich jetzt hier aber beschreibe wie das geht ist dieser Beitrag sicher sofort wieder gelöscht/zensiert.
Genau, wir machen die Filter alle weg, damit Leute, die das umgehen wollen, nicht mal mehr ein wenig Hirnschmalz brauchen, und stellen dafür Leute ein, die kontrollieren, was Leute hochladen, und wo offensichtlich gegen unsere AGBs und Regeln verstoßen wird. Dafür bezahlen wir diese Leute, und machen das "Webspace werbefrei" aus dem Header weg.
Ich verstehe dein Gejammere wirklich nicht.
Und wie kaetzle7 richtig sagt: es ist kein Grund, hier im Forum ZU SCHREIEN. -
Ich verstehe hackyourlife :)
burgi, aber der Dateierweiterungs Header ist halt schwachsinn.
Bestes Beispiel: PDF generiert und als ZIP zum Download anbieten (natürlich alles on the Fly)
wenn du jetzt ne URL hast: xyz.lima-city.de/create/invoice/925985/dl/2012-02-20.zip
die per rewrite den Generator anspricht,
wird der Download, welcher ja eigentlich erlaubt ist, verboten... -
dexus85 schrieb:
Bestes Beispiel: PDF generiert und als ZIP zum Download anbieten (natürlich alles on the Fly)
wenn du jetzt ne URL hast: xyz.lima-city.de/create/invoice/925985/dl/2012-02-20.zip
die per rewrite den Generator anspricht,
wird der Download, welcher ja eigentlich erlaubt ist, verboten...
Ein PDF in einem ZIP verpackt ist nun mal ein ZIP, und ZIP-Dateien müssen bei uns halt nunmal auf den Downloadserver. Punkt um. Daran werden wir auch nichts ändern. Das Problem, was hackyoulife beschreibt ist ein anderes, als du es hier erklären willst ... -
burgi schrieb:
Ich sage nicht, dass der Filter weg soll. Es soll nur der Filter am Webspace genau DANN anschlagen wenn die Datei auch wirklich existiert. Ansonsten soll ein normaler 404-Error kommen (und KEIN 403).
Genau, wir machen die Filter alle weg, damit Leute, die das umgehen wollen, nicht mal mehr ein wenig Hirnschmalz brauchen, und stellen dafür Leute ein, die kontrollieren, was Leute hochladen, und wo offensichtlich gegen unsere AGBs und Regeln verstoßen wird. Dafür bezahlen wir diese Leute, und machen das "Webspace werbefrei" aus dem Header weg.
Ich verstehe dein Gejammere wirklich nicht.
Ihr schützt euch zur Zeit vor Dateien, die es gar nicht gibt!
dexus85 schrieb:
Achtung. Wenn der Ordner, in dem die vermeintliche 2012-02-20.zip liegt nicht existiert wird gar nichts verboten. Es darf der Ordner dl also nicht existieren.
wenn du jetzt ne URL hast: xyz.lima-city.de/create/invoice/925985/dl/2012-02-20.zip
die per rewrite den Generator anspricht,
wird der Download, welcher ja eigentlich erlaubt ist, verboten...
burgi schrieb:
@burgi: es geht um das erstellen on-the-fly.
dexus85 schrieb:
Bestes Beispiel: PDF generiert und als ZIP zum Download anbieten (natürlich alles on the Fly)
wenn du jetzt ne URL hast: xyz.lima-city.de/create/invoice/925985/dl/2012-02-20.zip
die per rewrite den Generator anspricht,
wird der Download, welcher ja eigentlich erlaubt ist, verboten...
Ein PDF in einem ZIP verpackt ist nun mal ein ZIP, und ZIP-Dateien müssen bei uns halt nunmal auf den Downloadserver.
Wenn etwas on-the-fly erstellt wird liegt es nicht auf dem Webspace in dem Format vor, deshalb ist das laut AGB und anderen "Regeln" nicht verboten.
Beitrag zuletzt geändert: 21.2.2012 14:30:32 von hackyourlife -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
