проблема с error_page

Maxim Dounin mdounin at mdounin.ru
Tue Nov 10 15:15:25 MSK 2009


Hello!

On Tue, Nov 10, 2009 at 02:16:38PM +0300, Михаил Монашёв wrote:

> Здравствуйте, Максим.
> 
> MD> 2. Если я правильно понимаю что ты хочешь сделать - тебе нужно не
> MD> это, а image_filter.  Потому как вместо картинки отдать exploit - 
> MD> точно так же никто не мешает, надо содержимое хотя бы минимально 
> MD> проверять.
> 
> А  как работают эксплойты в картинках? Они ведь не только в заголовках
> пишут  что-то  не  то,  но и могут в самих данных написать что-то, что
> вызовет  некорректную  работу.  Как  я  понял,  тестирование  картинки

Как-то так.

> проверяет  лишь  её  заголовки,  т.е.  то, что это картинка. Для того,
> чтобы  гарантировать  отсутствие  эксплойта  надо  картинку  открыть и
> пересохранить  софтом,  не подверженным этому эксплойту. Т.е. в теории
> задача  не  выполнимая  :-)  На  практике  же  не помешало реализовать
> пересохранение картинки, пропустив её через GD.

По хорошему - да, нужно пересохранять.  В твоём случае насколько 
я понимаю можно использовать resize.

> Мы  для себя кстати написали специального картиночного демона, который
> работает  с  картинками.  Прописали  ему  минимальные права, лимиты по
> процессору  и памяти, сеть прикрыли. Так туда постоянно какую-то хрень
> закачивают.  По  5-10  раз  на  дню этого демона убивают за превышение
> лимитов  по  памяти или процессору на каждом сервере. Скорее всего это
> просто битые картинки, а не вирусня, но всёравно масштаб поражает.

Я вот тут перечитывал код openssl - много думал.  А ты про 
библиотеки работы с картинками... :)

Maxim Dounin





More information about the nginx-ru mailing list