Cyril Mougel wrote: > Julien Biard wrote: >> bonjour, >> >> je souhaiterais mettre en place un système d'échange de documents. >> j'utilise actuellement attachment_fu pour mes images. cependant, je me >> pose des questions quant à la sécurité. le fait d'ouvrir l'upload à tout >> type de document me semble un peu risqué, surtout après avoir lu un >> passage d'agile development in ror au sujet des chemins de fichier uploadés. >> >> j'avoue qu'après avoir été attaqué par css/xss, je suis d'autant plus >> paranoïaque :/ >> >> avez-vous un retour d'expérience à ce sujet ? >> >> merci d'avance, >> >> > Charge à toi de mettre un hook de vérification derrière. Par exemple, tu > peux limiter le nombre d'upload ou alors tu peux lancer un anti-virus ou > autre par système de queue avec suppression de document suivant > certaines conditions. > >
merci pour ta réponse. en fait, je pensais plus à la sécurité du serveur et de la session. je vais au final m'appuyer sur un antivirus, un filtrage sur le content-type, et une limitation sur la taille. à part une faille de sécurité de nginx sur les ressources desservies directement en statique qui permettrait l'exécution de script côté serveur, je ne vois finalement pas ce qui pourrait poser un problème de sécurité. --~--~---------~--~----~------------~-------~--~----~ Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement envoyez un e-mail à l'adresse [EMAIL PROTECTED] -~----------~----~----~----~------~----~------~--~---
