Re: нетривиальная обработка POST во встроенном перле

[Valery Kholodkov]

----- Daniel Podolsky <onokonem at gmail.com> wrote:
> > а не получится ли повтор уязвимости фидошнога хаба? на хаб заливали
> > небольшой zip-файл, который содержал огромный файл после распаковки
> Самой прекрасной шуткой был zip, дающий после распаковки идентичный
> zip, и не один. Тоссер же просто распаковывал все архивы, лежащие в
> соответствующей директории, пока таковые находились.
> 
> А в моем случае - можно будет получить листинг архива, и проверить имя
> файла и размер на валидность.
> 
> Можно ли сделать zip, который при распаковке даст файл большего
> размера, чем рапортует листинг - я не знаю. Согласен - этот вопрос
> надо бы изучить...

Можно.

Можно сделать архив, в котором размер файла не указан, по той причине, что он получен со стандартного ввода.

Сломать таким образом можно и систему, распаковывающую архивы в пакетном режиме. Однако система, распаковывающая архивы в процессе полученая не создает излишней нагрузки в тот момент, когда архив полностью получен, и таким образом более масштабируемая.

-- 
Regards,
Valery Kholodkov