Риторика. Upload by PHP or Java

[gun2rin]

Риторика. Upload by PHP or Java

Возникла ситуация. Есть сервер, куда грузятся фотографии, сделанные профессиональными фотогрофами в хорошем качестве.

Наши иностранные заказчики
"паникуют". Их эксперт по сетевой безопасности говорит мол, через PHP-скрипты заливать несекъюрно, надо юзать специальный Java-апплет для этого.
Вот их response:
--
The security problem is not about stealing photo but about PHP weakness.
You can hack the server by uploading images. It is one of the most serious
problem with PHP. Our network expert recommends very seriously to use this
applet.
http://www.radinks.com/sftp/applet.php
--
Хм.. Наша команда в смятении. В принципе мы не против использовать этот апплет (придется правда лопатить много), вот только правы ли они?
Что скажете?

 

[crocodile2u]

А могут они сказать, как можно взломать сервер, загружая картинки ?

 

[gun2rin]

Типа загрузив какой-нибудь жутко-мутно-хакерский скрипт, вместо имаджа.

 

[Ямерт]

А почему это нельзя сделать через апплет?
Надо сказать, что взломать через уплоад можно, если защиты нет. PHP-то тут при чём?

 

[gun2rin]

Вот, вот. Мы тоже самое думаем. Нам надо просто составить вразумительный отрицательный ответ.
Он говорит "It is one of the most serious
problem with PHP". Что он имеет ввиду - неясно...

 

[Tn]

Надо писать такой скрипт, через который нельзя взломать. А нетворк эксперта пора бы послать на курсы повышения квалификации или избавления от суеверия.

Скорее всего у них есть специалисты по Java, которые всегда могут проверить, исправить или изменить аплет. Хотя накой тут аплет вообще нужен?

 

[gun2rin]

Скрипт-то там нормальный. А грешат они именно на PHP.

 

[si]

gun2rin
у них есть факты или это пустой треп ?
sftp работает поверх ssh, там тоже приличное кол-во дыр находили (во всех реализациях). а дыра в ssh куда более опасная штука чем в РНР, потому как они немного от разных юзеров работают

 

[gun2rin]

Именно пустой треп. Я думаю. Спасибо si, что расъяснил.
Мы наверно у них запросим более детальных объяснений.

 

[Alien]

Уггу.
А серверная часть опять на php
http://www.radinks.com/upload/developers.php
Где безопасность?

 

[Кром]

Фраза "It is one of the most serious problem with PHP" однозначно говорит о том, что это пустой треп. Скрорей всего эксперт по безопасности не является экспертом по PHP. Видимо в свое время наткнулся на статью о проблеме с безопасностью при загрузке файлов в версиях PHP ниже 4.1.1.

Хотя, если на их сервере стоит одна их таких древних версий, его опасения небезосновательны.

 

[gun2rin]

Спасибо! Полностью согласен.