Re[2]: проблема с error_page

[Михаил Монашёв]

Здравствуйте, Максим.

MD> 2. Если я правильно понимаю что ты хочешь сделать - тебе нужно не
MD> это, а image_filter.  Потому как вместо картинки отдать exploit - 
MD> точно так же никто не мешает, надо содержимое хотя бы минимально 
MD> проверять.

А  как работают эксплойты в картинках? Они ведь не только в заголовках
пишут  что-то  не  то,  но и могут в самих данных написать что-то, что
вызовет  некорректную  работу.  Как  я  понял,  тестирование  картинки
проверяет  лишь  её  заголовки,  т.е.  то, что это картинка. Для того,
чтобы  гарантировать  отсутствие  эксплойта  надо  картинку  открыть и
пересохранить  софтом,  не подверженным этому эксплойту. Т.е. в теории
задача  не  выполнимая  :-)  На  практике  же  не помешало реализовать
пересохранение картинки, пропустив её через GD.

Мы  для себя кстати написали специального картиночного демона, который
работает  с  картинками.  Прописали  ему  минимальные права, лимиты по
процессору  и памяти, сеть прикрыли. Так туда постоянно какую-то хрень
закачивают.  По  5-10  раз  на  дню этого демона убивают за превышение
лимитов  по  памяти или процессору на каждом сервере. Скорее всего это
просто битые картинки, а не вирусня, но всёравно масштаб поражает.

--

С уважением,
Михаил Монашёв, SoftSearch.ru
mailto:postmaster at softsearch.ru
ICQ# 166233339
http://michael.mindmix.ru/
Без бэкапа по жизни.