AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Fragen / Anregungen zur DP FF3 will angehängte Bilder downloaden...
Thema durchsuchen
Ansicht
Themen-Optionen

FF3 will angehängte Bilder downloaden...

Ein Thema von DGL-luke · begonnen am 6. Jul 2008 · letzter Beitrag vom 30. Jan 2009
Antwort Antwort
Seite 1 von 4  1 23     Letzte »    
Benutzerbild von DGL-luke
DGL-luke

Registriert seit: 1. Apr 2005
Ort: Bad Tölz
4.149 Beiträge
 
Delphi 2006 Professional
 
#1

FF3 will angehängte Bilder downloaden...

  Alt 6. Jul 2008, 00:33
...kann man da nicht "Content-Disposition: inline;" in den Header tun?
Lukas Erlacher
Suche Grafiktablett. Spenden/Gebrauchtangebote willkommen.
Gotteskrieger gesucht!
For it is the chief characteristic of the religion of science that it works. - Isaac Asimov, Foundation I, Buch 1
  Mit Zitat antworten Zitat
Dax
(Gast)

n/a Beiträge
 
#2

Re: FF3 will angehängte Bilder downloaden...

  Alt 6. Jul 2008, 00:34
Das wurde letztens rausgenommen, weil man sonst mit manipulierten Bildern Schadcode auf dem Server ausführen könnte ("Wenn wir das tun, interpretiert der Server die Bilder zuerst wie eine PHP-Datei" - sinngemäß).
  Mit Zitat antworten Zitat
Benutzerbild von DGL-luke
DGL-luke

Registriert seit: 1. Apr 2005
Ort: Bad Tölz
4.149 Beiträge
 
Delphi 2006 Professional
 
#3

Re: FF3 will angehängte Bilder downloaden...

  Alt 6. Jul 2008, 00:38
wat? WAS? Wie soll DAS denn gehen?!

EDIT: Ich hatte ja jetzt gerade vor, irgendwas mit .htaccess-kommandos reinzuschreiben, wo man ja schon dateiendungen zu CGI-Modulen o.ä. zuordnen kann - aber das macht auhc keine Sinn....

Das will ich nochmal von Daniel höchstpersönlich hören

EDIT: Okay, hab den original-fred gefunden. Hört sich grauenhaft an: http://www.delphipraxis.net/internal...t.php?t=132121
Lukas Erlacher
Suche Grafiktablett. Spenden/Gebrauchtangebote willkommen.
Gotteskrieger gesucht!
For it is the chief characteristic of the religion of science that it works. - Isaac Asimov, Foundation I, Buch 1
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#4

Re: FF3 will angehängte Bilder downloaden...

  Alt 6. Jul 2008, 11:24
Moin,

dass PHP-Code ausgefuehrt werden kann stimmt nicht. Es besteht jedoch eine Sicherheitsluecke, die zu kompromittierten Sessions fuehren kann. Wenn jemand dann auch noch das Autologin-Flag gesetzt hat, ist die Kacke am Dampfen

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Florian H

Registriert seit: 30. Mär 2003
Ort: Mühlacker
1.043 Beiträge
 
Delphi 6 Professional
 
#5

Re: FF3 will angehängte Bilder downloaden...

  Alt 15. Sep 2008, 16:00
Es ist halt wirklich extrem nervig.

Ich habe das Problem in Opera und es stört wirklich extrem. Bei jedem Screenshot oder sonstigem angehängten Bild will Opera es downloaden. Dann muss ich erst aus einer Liste der möglichen Programme "Opera" auswählen und es damit öffnen ... sind zwar nur 3-5 Sek Mehrarbeit, aber nachdem in der DP ja an jeder Ecke und jedem Zipfel gefeilt wurde um den höchsten Komfort für die User rauszuboxen, ist das dann um so störender.

Also lieber Sicherheitslücke stopfen anstatt zu umgehen und Millionen glückliche User zurückgewinnen
Florian Heft
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#6

Re: FF3 will angehängte Bilder downloaden...

  Alt 15. Sep 2008, 16:03
hm. Mal gucken, ob ich am Zipfel feilen kann.
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#7

Re: FF3 will angehängte Bilder downloaden...

  Alt 16. Sep 2008, 00:58
Zitat von Florian H:
Also lieber Sicherheitslücke stopfen anstatt zu umgehen und Millionen glückliche User zurückgewinnen
Wenn du den IE fixen willst, nur zu. Das Problem ist eine Luecke im IE, die sich ueber Attachments ausnutzen laesst. Damit ist dann wiederum ein Angriff auf die Software moeglich. Das einzige was man da fixen kann, ist das Verhalten des IE, mehr nicht

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Benutzerbild von rollstuhlfahrer
rollstuhlfahrer

Registriert seit: 1. Aug 2007
Ort: Ludwigshafen am Rhein
1.529 Beiträge
 
Delphi 7 Professional
 
#8

Re: FF3 will angehängte Bilder downloaden...

  Alt 16. Sep 2008, 10:29
das kann man doch umgehen, indem man entweder eine zusätzliche Profileinstellung einführt (einfachste Methode) oder man frägt ab, welcher Browser genutzt wird und agiert dementsprechend.

Bernhard
Bernhard
Iliacos intra muros peccatur et extra!
  Mit Zitat antworten Zitat
Benutzerbild von Meflin
Meflin

Registriert seit: 21. Aug 2003
4.856 Beiträge
 
#9

Re: FF3 will angehängte Bilder downloaden...

  Alt 16. Sep 2008, 13:16
Zitat von rollstuhlfahrer:
das kann man doch umgehen, indem man entweder eine zusätzliche Profileinstellung einführt (einfachste Methode) oder man frägt ab, welcher Browser genutzt wird und agiert dementsprechend.
OMG. Oder noch einfacher: man lässts so wies gerade ist. Der Klick auf "Öffnen" ist jett wirklich nicht DIE Zumutung. Aber sicher...
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#10

Re: FF3 will angehängte Bilder downloaden...

  Alt 16. Sep 2008, 13:42
Zitat von rollstuhlfahrer:
das kann man doch umgehen, indem man entweder eine zusätzliche Profileinstellung einführt (einfachste Methode) oder man frägt ab, welcher Browser genutzt wird und agiert dementsprechend.
Nach einigen Jahren in der SW-Entwicklung und v.a. der Web-Entwicklung habe ich eins gelernt: den User muss man vor sich selbst schuetzen. Die groesste Angriffsflaeche bietet immer noch der User, der sich mit seinem Verhalten gefaehrdet. So eine Einstellung ist eigentlich nur fahrlaessig. Warum? Naja, irgendeinen User nervt das Verhalten. Also fragt er, was sich dagegen machen laesst. Nun antwortet ein anderer "wenn du im Profil Opera oder Firefox einstellst, passt es". Er stellt es also um und checkt nicht, dass das fuer seinen IE nicht die beste Loesung ist. Dann kommt ein ganz poehser Hacker daher und laedt ne Datei hoch, die die Session-ID und Autologin-ID klaut und an einen Rechner schickt. Der Account ist also fuer die restliche Session-Dauer kompromittierbar; wenn die Autologin-ID geklaut wurde sogar bis zum naechsten automatischen Login. Das ist dann nicht mehr so prickelnd. Und was wird der User sagen? Der Account wurde gehackt weil die Software unsicher ist.

Merke: wenn du dem User die Moeglichkeit gibst, ein Sicherheitsloch aufzumachen, kannst du dir zu 100% sicher sein, dass er es tun wird. Die derzeitige Loesung mag zwar umstaendlich sein, aber in dem Moment wo ein "Bild", das du aufrufst nicht mehr nur ein Bild ist, sondern Schadcode drin hat (der, wenn mans drauf anlegt, auch deinen Rechner kompromittieren kann), ist dieser zusaetzliche Umstand durchaus vertretbar. Da bringts auch nichts zu sagen "ach, selber Schuld wenn die den IE verwenden". Es muss fuer alle Plattformen mindestens denselben Schutz geben. Wenn dieser Schutz bei einem Browser dann redundant ist, ist das nciht negativ. Es ist ein zusaetzlicher Klick...der so manchem User das Leben bzw. den Rechner retten kann.

@Luke: content-disposition:inline sorgt fuer das Problem, deshalb wurde es auch rausgenommen. Wenn du selbst ein phpBB hast, kann ich dir das gerne zeigen

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 4  1 23     Letzte »    


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:29 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz