Allgemeines > atari-home.de

"Your attachment has failed security checks and cannot be uploaded."

<< < (9/9)

goetz @ 3rz:

--- Zitat von: czietz am Fr 08.03.2019, 18:34:37 ---[…] Die Upload-Funktion sucht in der kompletten (binären) Bilddatei nach gewissen Strings, ohne Beachtung der Groß- und Kleinschreibung:


--- Code: ---if (preg_match('~(iframe|(?<!cellTextIs)html|eval|body|script\W|[CF]WS[\x01-\x0C])~i', $prev_chunk . $cur_chunk) === 1)
--- Ende Code ---
https://github.com/SimpleMachines/SMF2.1/blob/2e4a1e872c7f093647ec31cf5d4277aed9772c4f/Sources/Subs-Graphics.php#L224
(Wenn der Modus "paranoider Check" aktiviert ist, ist die Liste noch länger.)

Doof bloß, dass der String "eval" in den XMP-Metadaten meiner Fotos vorkommt: […] Sehr lästig, diese Forensoftware.

--- Ende Zitat ---

Selbst wenn man Metadaten entfernt - diese „Strings“ können durchaus auch in Bildern als Werte zufällig vorkommen, je kürzer desto wahrscheinlicher.

Allerdings ist Bildupload im Web idT nicht ganz einfach sicher zu kriegen. Die Standardmethode „frag ich halt eine Library, ob das ein gültiges Bild ist“ nimmt dann oft imagemagick hinzu, und das hatte schon öfter Sicherheitslecks die genau so zur Übernahme eines Webservers führten.

goetz @ 3rz:
Ich kann leider keine Bilder hochladen – gleiche Fehlermeldung. Ich hatte alle JFIF/JPEGs vorher durch "ImageOptim" geschickt, das alle Metadaten entfernen sollte.

Lukas Frank:
Bei mir geht das nicht wenn die/das Bild zu groß ist !!!

goetz @ 3rz:
Ich habe auf "eine Seite hat 1280px" skaliert, trotzdem. Die Bilder haben 400-500 KB, sind also etwa Faktor 4 unter dem Maximallimit.

Lukas Frank:
2000 pixel Bild mit 50% jpeg (231k) macOS Graphicconverter

Navigation

[0] Themen-Index

[*] Vorherige Sete