Загрузка файлов пользователями в облако (например Яндекс, Гугл и тд)

[PsyKing]

Хочу реализовать загрузку файлов покупателями, на странице размещения заказа (модуль Simple), в облако различных онлайн хранения файлов сервисов. В модуле simple есть возможность загрузки файлов, но на сервер. На форуме пишут, что лучше не открывать возможность заливки на сервер файлов, т.к. очень не безопасно - можно залить вредоносные файлы. 

 

Может есть идеи реализации и помощь в данном вопросе за небольшое вознаграждение?

[konorws]

3 минуты назад, PsyKing сказал:

Хочу реализовать загрузку файлов покупателями, на странице размещения заказа (модуль Simple), в облако различных онлайн хранения файлов сервисов. В модуле simple есть возможность загрузки файлов, но на сервер. На форуме пишут, что лучше не открывать возможность заливки на сервер файлов, т.к. очень не безопасно - можно залить вредоносные файлы. 

 

Может есть идеи реализации и помощь в данном вопросе за небольшое вознаграждение?

Боюсь вам нестоит настолько переживать. 

[PsyKing]

4 минуты назад, konorws сказал:

8 минут назад, PsyKing сказал:

 

Боюсь вам нестоит настолько переживать. 

 

С радостью, но не нашёл ниодного позитивного комментария по этой теме, наоборот разработчики закрывают данный функционал в своих модулях, т.к. вероятность атаки через эту дыру весьма высока.

[Tom]

12 минут назад, konorws сказал:

Боюсь вам нестоит настолько переживать. 

Еще как стоит.

По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать.

[markimax]

2 часа назад, konorws сказал:

Боюсь вам нестоит настолько переживать. 

Стоит!
Нельзя давать пользователям загружать файлы на сервер
Во всех безопасных проектах с загрузкой файлов серверы загрузки отделены от серверов с кодом

 

Проблема с simple в том что он весь закодирован ioncube

[markimax]

2 часа назад, Tom сказал:

Еще как стоит.

По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать.

Совершенно верно
Стоит и еще как стоит
Плохо то что simple закодирован ioncube

[markimax]

2 часа назад, PsyKing сказал:

 

С радостью, но не нашёл ниодного позитивного комментария по этой теме, наоборот разработчики закрывают данный функционал в своих модулях, т.к. вероятность атаки через эту дыру весьма высока.

Причем даже не через код модуля, а возможно через дырки сервера
Нельзя пользователям разрешать что либо грузить на сервер
Это будет первый же вектор атаки хакеров

[PsyKing]

3 часа назад, Tom сказал:

Еще как стоит.

По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать.

 

Можно поподробней. Создал текстовое поле. Ссылку я так понимаю на папку хранения гугл диска, куда эту ссылку в поле вставлять? Можно допустим при нажатии кнопки "загрузить файл", открывал ссылку облака, куда можно перетащить файл?

[PsyKing]

48 минут назад, markimax сказал:

Причем даже не через код модуля, а возможно через дырки сервера
Нельзя пользователям разрешать что либо грузить на сервер
Это будет первый же вектор атаки хакеров

 

А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно?

[markimax]

32 минуты назад, PsyKing сказал:

 

А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно?

Есть сервисы "облаков", у них есть API
Во всяком случае у себя в модуле я делал через API загрузку изображений в облако, типа как пользователь загружает на "сервер" обычно

[markimax]

1 час назад, PsyKing сказал:

 или из-за закодированного ioncube это невозможно?

Посмотрел simple_connector.php не закодирован

В принципе можно сделать но "дешево" не получится
Лучше связаться с автором и обьснить ситуацию по безопасности, чтобы сделал загрузку в сервис облака через API

[mazein]

Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две.

[markimax]

6 минут назад, mazein сказал:

Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две.

Хватает 0.1 секунды (пока идет "обработка") запустить шел
На хабре была статья, как ломали загрузку через хостера и им хватило 0.1 секунды запустить шелл
Они подсунули мусора в шелле на обработку которого ушло как раз более 0.1 c
Не каждый хакер конечно может это сделать. но когда есть дыра и деньги на неё - могут нанять профессионала который закинет шелл
Лучше обезопасить в корне, сделав загрузку файлов в облако или на другой сервер, отделенный от кода

[mazein]

10 минут назад, markimax сказал:

Хватает 0.1 секунды

Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост?

[markimax]

35 минут назад, mazein сказал:

Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост?

По барабану, ломают через діырки хостера
И причем здесь "доступ", вы же все равно от имени скрипта ложите файл в папку, а надо только узнать "куда". А там уже через говнокод модуля или дыры хостера узнать путь к нему.

[mazein]

9 минут назад, markimax сказал:

от имени скрипта

В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется?