проблема с error_page
Maxim Dounin
mdounin at mdounin.ru
Tue Nov 10 15:15:25 MSK 2009
Hello!
On Tue, Nov 10, 2009 at 02:16:38PM +0300, Михаил Монашёв wrote:
> Здравствуйте, Максим.
>
> MD> 2. Если я правильно понимаю что ты хочешь сделать - тебе нужно не
> MD> это, а image_filter. Потому как вместо картинки отдать exploit -
> MD> точно так же никто не мешает, надо содержимое хотя бы минимально
> MD> проверять.
>
> А как работают эксплойты в картинках? Они ведь не только в заголовках
> пишут что-то не то, но и могут в самих данных написать что-то, что
> вызовет некорректную работу. Как я понял, тестирование картинки
Как-то так.
> проверяет лишь её заголовки, т.е. то, что это картинка. Для того,
> чтобы гарантировать отсутствие эксплойта надо картинку открыть и
> пересохранить софтом, не подверженным этому эксплойту. Т.е. в теории
> задача не выполнимая :-) На практике же не помешало реализовать
> пересохранение картинки, пропустив её через GD.
По хорошему - да, нужно пересохранять. В твоём случае насколько
я понимаю можно использовать resize.
> Мы для себя кстати написали специального картиночного демона, который
> работает с картинками. Прописали ему минимальные права, лимиты по
> процессору и памяти, сеть прикрыли. Так туда постоянно какую-то хрень
> закачивают. По 5-10 раз на дню этого демона убивают за превышение
> лимитов по памяти или процессору на каждом сервере. Скорее всего это
> просто битые картинки, а не вирусня, но всёравно масштаб поражает.
Я вот тут перечитывал код openssl - много думал. А ты про
библиотеки работы с картинками... :)
Maxim Dounin
More information about the nginx-ru
mailing list