Le SP2 et les transfers de fichiers .html
8 messages
• Page 1 sur 1
Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics
-
Pulsar-san - WRInaute discret
- Messages: 210
- Inscription: 29 Oct 2003
Le SP2 et les transfers de fichiers .html
le Mar Oct 26, 2004 12:55
Je fais face à un problème embêtant suite à l'installation du pack SP2 chez certains de mes membres.
Lors de l'upload de fichier .htm/.html par une form du type
et qu'on récupère la structure du fichier en utilisant $_FILES, le type n'est pas respecté.
J'ai fait le test avec un pc WIN XP PRO SP1, ça passe sans problème.
Après l'installation du SP2 j'ai le même problème que mes membres.
Donc c'est bien le SP2 qui est responsable.
Une raison de plus pour que je n'installe pas le SP2 sur mon serveur
Lors de l'upload de fichier .htm/.html par une form du type
- Code: Tout sélectionner
print "<form method=POST action='modules.php?name=storyline&set=cpanel&part=addst' enctype='multipart/form-data'>";
print "<input type='file' name='upchapa' size=50>";
print "</form>";
et qu'on récupère la structure du fichier en utilisant $_FILES, le type n'est pas respecté.
- Code: Tout sélectionner
$_FILES["upchapa"]["type"] donne "text/plain" au lieu de "text/html"
J'ai fait le test avec un pc WIN XP PRO SP1, ça passe sans problème.
Après l'installation du SP2 j'ai le même problème que mes membres.
Donc c'est bien le SP2 qui est responsable.
Une raison de plus pour que je n'installe pas le SP2 sur mon serveur
-
Monique - WRInaute passionné
- Messages: 1545
- Inscription: 16 Sep 2002
le Mar Oct 26, 2004 13:08
Bonjour,
... sécurité oblige !
Le problème, c'est la manière de résoudre les problèmes de sécurité : supprimer la cause plutôt que d'essayer de la contrôler.
Amicalement,
Monique
"text/plain" au lieu de "text/html"
... sécurité oblige !
Le problème, c'est la manière de résoudre les problèmes de sécurité : supprimer la cause plutôt que d'essayer de la contrôler.
Amicalement,
Monique
-
Pulsar-san - WRInaute discret
- Messages: 210
- Inscription: 29 Oct 2003
le Mar Oct 26, 2004 13:24
Hélas, hélas, trois fois hélas 
Le problème, c'est que ça introduit une faille de sécurité puisque qu'on peut alors envoyer un fichier html et le faire passer pour un fichier texte.
Comme seule la détection du type est erronée, une fois le fichier uploadé celui-ci peut être appelé et bel et bien être traité comme un fichier html !
Le problème, c'est que ça introduit une faille de sécurité puisque qu'on peut alors envoyer un fichier html et le faire passer pour un fichier texte.
Comme seule la détection du type est erronée, une fois le fichier uploadé celui-ci peut être appelé et bel et bien être traité comme un fichier html !
-
Pulsar-san - WRInaute discret
- Messages: 210
- Inscription: 29 Oct 2003
le Mar Oct 26, 2004 13:53
rebirth a écrit:Moi je trouve pas ca mauvais de limiter les actions des utilisateurs Windows...
S'ils pouvaient un peu moins pourrir ma BAL de leurs virus
Ben justement, là ça ne limite plus rien puisque le serveur ne peut plus reconnaitre le type du fichier envoyé
-
rebirth - WRInaute impliqué
- Messages: 909
- Inscription: 18 Avr 2004
le Mar Oct 26, 2004 14:08
J'ai du mal a voir en quoi c'est une faille...
C'est plutot cote serveur qu'il faut verifier qui est qui et qui fait quoi....
Pas laisser le navigateur d'un visiteur nous "assurer" qu'il s'agit bien d'un fichier texte et ou HTML
C'est plutot cote serveur qu'il faut verifier qui est qui et qui fait quoi....
Pas laisser le navigateur d'un visiteur nous "assurer" qu'il s'agit bien d'un fichier texte et ou HTML
-
Pulsar-san - WRInaute discret
- Messages: 210
- Inscription: 29 Oct 2003
le Mar Oct 26, 2004 14:47
Justement, c'est ce que je dis.
Le serveur ne peut plus reconnaitre correctement le fichier envoyé du fait que l'encapsulage de celui-ci est erroné.
Le serveur ne peut plus reconnaitre correctement le fichier envoyé du fait que l'encapsulage de celui-ci est erroné.
8 messages
• Page 1 sur 1
Formation recommandée sur ce thème :
Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par les experts Google Analytics de Ranking Metrics.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Yahoo Audio Search - 05-08-2005
- Contraintes d'emplacement du Sitemap - 27-06-2005
- Chercher des fichiers KML dans Google Earth - 15-02-2007
- Transfert de fichiers dans Google Talk - 29-07-2006
- Où placer son fichier Sitemap ? A la racine ? - 27-06-2005
- Référencement de vidéos avec les fichiers sitemaps vidéo - 19-12-2007
- Nouvel article : "Google en résumé" - 13-03-2003
- Google Desktop pour Mac OS X - 05-04-2007
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
Contact
Confidentialité