/ Forside / Teknologi / Udvikling / Java / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Java
#NavnPoint
molokyle 3688
Klaudi 855
strarup 740
Forvirret 660
gøgeungen 500
Teil 373
Stouenberg 360
vnc 360
pmbruun 341
10  mccracken 320
File upload og sikkerhed
Fra : Allan Unnerup


Dato : 28-06-02 15:05

Hvordan uploader en surfer en fil til en webserver uden at give køb på
sikkerheden?

Scenario:
Som bruger af et webhotel er man registreret som bruger A
Som surfer på samme webhotel kører servlets under webserverens bruger B
Når man som surfer (bruger B) uploader en fil og vil gemme den under bruger
A's filkatalog, skal bruger A have givet udvidede rettigheder (rwxrwxrwx)
til det katalog, som bruger B skal benytte. Hvilke muligheder er der for at
undgå dette problem?

Min udbyder har installeret apache suEXEC, og jeg kan løse problemet med et
CGI-script. suEXEC kører CGI-scriptet som bruger A, selvom det er startet af
bruger B, og derved skal der ikke udvidede rettigheder til de kataloger,
hvor de uploadede filer skal gemmes.

Men findes der ikke en Java-løsning?

Hilsen Allan



 
 
Thorbjoern Ravn Ande~ (28-06-2002)
Kommentar
Fra : Thorbjoern Ravn Ande~


Dato : 28-06-02 15:28

"Allan Unnerup" <alu@udkik.dk> writes:

> til det katalog, som bruger B skal benytte. Hvilke muligheder er der for at
> undgå dette problem?

Ingen.

> Min udbyder har installeret apache suEXEC, og jeg kan løse problemet med et
> CGI-script. suEXEC kører CGI-scriptet som bruger A, selvom det er startet af
> bruger B, og derved skal der ikke udvidede rettigheder til de kataloger,
> hvor de uploadede filer skal gemmes.
>
> Men findes der ikke en Java-løsning?

Hvilket problem er det du er ved at løse? Måske er der en helt anden
mulighed.

--
Thorbjørn Ravn Andersen
http://homepage.mac.com/ravn

Allan Unnerup (28-06-2002)
Kommentar
Fra : Allan Unnerup


Dato : 28-06-02 15:45

> > til det katalog, som bruger B skal benytte. Hvilke muligheder er der for
at
> > undgå dette problem?
>
> Ingen.

Jo, jeg beskriver jo netop en løsning

> > Min udbyder har installeret apache suEXEC, og jeg kan løse problemet med
et
> > CGI-script. suEXEC kører CGI-scriptet som bruger A, selvom det er
startet af
> > bruger B, og derved skal der ikke udvidede rettigheder til de kataloger,
> > hvor de uploadede filer skal gemmes.
> >
> > Men findes der ikke en Java-løsning?
>
> Hvilket problem er det du er ved at løse? Måske er der en helt anden
> mulighed.

Jeg vil gerne erstatte CGI-script-løsningen med en Java-løsning. Men her er
måske en kodeopgave, der ikke kan løses i Java?

Andre muligheder modtages gerne.



Thorbjoern Ravn Ande~ (28-06-2002)
Kommentar
Fra : Thorbjoern Ravn Ande~


Dato : 28-06-02 16:18

"Allan Unnerup" <alu@udkik.dk> writes:

> > > til det katalog, som bruger B skal benytte. Hvilke muligheder er der for
> at
> > > undgå dette problem?
> >
> > Ingen.
>
> Jo, jeg beskriver jo netop en løsning

Jeg kan ikke forestille mig andre løsninger end den.

> > > Min udbyder har installeret apache suEXEC, og jeg kan løse problemet med
> et
> > > CGI-script. suEXEC kører CGI-scriptet som bruger A, selvom det er
> startet af
> > > bruger B, og derved skal der ikke udvidede rettigheder til de kataloger,
> > > hvor de uploadede filer skal gemmes.
> > >
> > > Men findes der ikke en Java-løsning?
> >
> > Hvilket problem er det du er ved at løse? Måske er der en helt anden
> > mulighed.
>
> Jeg vil gerne erstatte CGI-script-løsningen med en Java-løsning. Men her er
> måske en kodeopgave, der ikke kan løses i Java?

Nejda. Så vidt jeg husker har O'Reilly en standard servlet til at
lave FORM UPLOAD's som vist er det du gerne vil have.

--
Thorbjørn Ravn Andersen
http://homepage.mac.com/ravn

Allan Unnerup (28-06-2002)
Kommentar
Fra : Allan Unnerup


Dato : 28-06-02 17:20

> > > > Min udbyder har installeret apache suEXEC, og jeg kan løse problemet
med
> > et
> > > > CGI-script. suEXEC kører CGI-scriptet som bruger A, selvom det er
> > startet af
> > > > bruger B, og derved skal der ikke udvidede rettigheder til de
kataloger,
> > > > hvor de uploadede filer skal gemmes.
> > > >
> > > > Men findes der ikke en Java-løsning?
> > >
> > > Hvilket problem er det du er ved at løse? Måske er der en helt anden
> > > mulighed.
> >
> > Jeg vil gerne erstatte CGI-script-løsningen med en Java-løsning. Men her
er
> > måske en kodeopgave, der ikke kan løses i Java?
>
> Nejda. Så vidt jeg husker har O'Reilly en standard servlet til at
> lave FORM UPLOAD's som vist er det du gerne vil have.

Jeg bruger O'Reilly's udmærkede servlet, men den håndterer jo kun selve
uploaden (under bruger B), ikke problemet med at gemme den uploadede fil i
et katalog med bruger A's rettigheder.

Hilsen Allan



Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408938
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste