Список профессионально полезных и безопасных типов файлов?

У меня есть система, в которую пользователи могут загружать, ну вообще что угодно — и эти файлы доступны другим пользователям.

Мне нужно составить список типов файлов, которые действительно нужны профессионалам в различных отраслях и защищены от взлома/вирусов и т. д.

.doc .docx .gif .jpg .jpeg .mpg .mpeg .mp3 .odt .odp .ods .pdf .ppt .pptx .tif .tiff .txt .xls .xlsx .wav

Какие другие типы файлов, которые полезны и безопасны, вы знаете?

Уточнение

Многие комментарии и ответы требуют более четкого определения «защиты от взлома/вирусов» — я задаю вопрос именно с таким уровнем детализации, потому что у меня нет такого глубокого понимания типов файлов и их рисков, как многие из вы делаете, и я хотел бы получить рекомендации по 1) любым типам файлов, которые могут сделать мой сайт более безопасным, и 2) если не существует «безопасных» типов файлов, то какие-либо советы о том, как двигаться дальше с система, позволяющая гибко загружать файлы и обмениваться ими.

Если действительно любой вредоносный файл можно упаковать как кажущийся безопасным файл, как я могу защитить своих пользователей?


ruby-on-rails security whitelist file-type
person sscirrus    schedule 10.05.2011    source источник
comment
защищен от взлома/вирусов? Что это обозначает? Если вы считаете, что файлы «.doc» или «.xls» защищены от вирусов, вам необходимо дать определение того, что, по вашему мнению, означает защита от вирусов.   -  person S.Lott    schedule 10.05.2011
comment
Вы не можете предположить, что файл безопасен, пока не проверите содержимое файла, на самом деле .docx, pptx и .xslx являются .zip-файлами внизу. Давай, переименуй их в .zip и открой... Кроме того, некоторые основные эксплойты операционной системы были достигнуты с помощью файлов изображений (.gif, .jpg, .jpeg, .tif, .tiff), и это не говоря уже об очень небезопасном MS Office. файлы (.doc .docx .ppt .pptx .xls .xlsx). Не так давно один из эксплойтов, позволивший взломать iPhone, заключался в ошибке в системе рендеринга .tiff.   -  person Juan Gomez    schedule 10.05.2011
comment
просто заблокируйте .virus. Это сделает это   -  person Johnno Nolan    schedule 10.05.2011
comment
@Juandg - спасибо за один из наиболее полезных ответов здесь. Учитывая, что практически любой файл может быть использован для инсценировки атаки, как лучше всего проверять вложения на веб-сайте? Если я не могу использовать тип файла, то что мне следует использовать?   -  person sscirrus    schedule 11.05.2011
comment
Старые офисные файлы (.doc, .ppt, .xls) опасны, но Microsoft приложила все усилия, чтобы обеспечить безопасность новых вариантов. Например, современные электронные таблицы Excel (.xlsx) не содержат макросов. Макросы хранятся в отдельных (.xlsm) файлах.   -  person Jordan    schedule 12.08.2016

Ответы (7)


arrow_upward
2
arrow_downward

Вы не можете предполагать, что все файлы с данным расширением защищены от «вирусов».

Я могу легко переименовать вредоносный исполняемый файл в .doc и «взломать» вашу систему.

РЕДАКТИРОВАТЬ:

Не существует (простого?) способа проверить, является ли загруженный пользователем файл вредоносным или нет.

Приложение, которое вы создаете, ничем не отличается от любых других сайтов для обмена файлами (Rapidshare, Megaupload и т. д.).

Ничто не мешает кому-либо загружать вредоносные файлы на эти веб-сайты.

person ryanprayogo    schedule 10.05.2011
comment
@ryanprayogo - Спасибо за ответ! Я понимаю, что это может быть сложнее, чем я ожидал — как тогда такие сайты, как Rapidshare и Megaupload, будут бороться с этими вредоносными файлами? - person sscirrus; 11.05.2011
comment
@sscirrus нет, многие вирусы распространяются через эти источники загрузки. - person Chad; 11.05.2011
comment
@Chad, @ryanprayogo - Есть ли ЛЮБОЙ способ безопасно разрешить одному пользователю веб-сайта делиться файлом с ограниченной группой других пользователей? Буквально нет безопасного способа сделать это, независимо от того, насколько он ограничен? - person sscirrus; 11.05.2011
comment
@sscirrus У вас может быть запущен антивирус на стороне сервера, который сканирует все входящие файлы. - person Chad; 11.05.2011
comment
Я не могу придумать никакого другого метода, кроме того, что упомянул @Chad, то есть запуска AV на вашем сервере, который сканирует все входящие файлы. - person ryanprayogo; 11.05.2011
comment
@Chad, @ryanpraygogo - надеюсь, последний вопрос по этому поводу: как настроить AV на Heroku? - person sscirrus; 11.05.2011
comment
@sscirrus, это вопрос о сбое сервера, а не о переполнении стека. - person Chad; 11.05.2011
comment
Поделитесь файлами в учетной записи Dropbox (или аналогичной). Конечно, перед его использованием вам все равно придется проверить, является ли файл вредоносным или нет, но риски вредоносных файлов больше не на вашем сервере. - person Els den Iep; 20.07.2016

arrow_upward
3
arrow_downward

Ни один тип файла не является безопасным, если программа, с помощью которой вы его открываете, написана плохо (или небрежно, или злонамеренно).

person James    schedule 10.05.2011

arrow_upward
2
arrow_downward

Безопасных файлов не существует. Обычный текстовый файл безопасен? Например, с содержанием:

format c:

если какая-то программа может выполнить содержимое файла... вы поняли.

Итак, здесь нет безопасных файлов - только ограничения на выполнение кода (программ). (И я пойму, если этот ответ не понравится.) :)

person jm666    schedule 10.05.2011

arrow_upward
1
arrow_downward

Для «полезного» вам нужно будет спросить своих клиентов.

Для безопасности такой вещи не существует, потому что расширение файла — это просто часть имени файла, которая дает предположение о типе файла. Он не обязательно должен точно представлять тип, и им легко манипулировать.

person Davy8    schedule 10.05.2011

arrow_upward
1
arrow_downward

Вместо защиты на основе типа файла. Я бы попросил третью сторону проверить каждый файл на вирусы при загрузке. Отклоните те, которые идентифицированы как положительные.

person Johnno Nolan    schedule 10.05.2011
comment
знаете ли вы какие-либо примеры тех третьих лиц, которые могли бы выполнить это сканирование? Как они будут интегрироваться в Heroku? - person sscirrus; 11.05.2011

arrow_upward
0
arrow_downward

Список довольно бесконечен! Быстрый поиск находит http://filext.com/alphalist.php?extstart=^A

person meouw    schedule 10.05.2011
comment
Он запрашивает список безопасных расширений файлов, а не всех возможных расширений файлов. - person Juan Gomez; 10.05.2011
comment
@juandg OP также запрашивает список типов файлов, которые действительно нужны профессионалам. Зависит от того, в какой области вы находитесь, может быть что угодно на самом деле - person meouw; 10.05.2011

arrow_upward
0
arrow_downward

Ну, вы можете включить все файлы data и исключить все исполняемые файлы/файлы сценариев. Один список расширений исполняемых файлов находится здесь: http://pcsupport.about.com/od/tipstricks/a/execfileext.htm

вы можете посмотреть другие источники, чтобы улучшить покрытие.

Изменить: для второй части вопроса, касающегося безопасности. Было бы лучше установить на сервере несколько программ для защиты от вредоносных программ для проверки каждого сообщения - они предназначены для этой специализированной задачи, используйте их. В любом случае ни один исполняемый файл не является профессионально полезным, пока люди не ищут кряк.

person d-live    schedule 10.05.2011
comment
Плохо сделанная безопасность хуже, чем ничего не делать, потому что это дает ложное чувство безопасности. Особенно наивной является попытка защитить пользователей от вредоносного содержимого файла, просматривая имя файла. Еще не случалось, чтобы имя файла причиняло хоть малейший вред, даже если это ThisIsADangerousVirus.cmd. - person Ingo; 10.05.2011
comment
Как вы думаете, где я говорил о безопасности? Вопрос состоит из двух частей: расширения файлов и безопасность. Я ответил только на первую часть. - person d-live; 10.05.2011
comment
Почему тогда вы дали совет исключить все исполняемые ..файлы? - person Ingo; 11.05.2011
comment
И безопасность можно легко обеспечить, установив на сервер множество антивирусных программ, которые специализируются на такого рода задачах, вместо того, чтобы иметь какую-то пользовательскую подозрительную логику для обнюхивания содержимого файла. - person d-live; 11.05.2011
comment
В: Почему тогда вы дали совет исключить все исполняемые .. файлы? A: Для профессионально полезных файлов - я не думаю, что кто-то заинтересован в исполняемых файлах, если только они не ищут кряк, а файлы данных редко будут называться ImportantDocument.exe. - person d-live; 11.05.2011