Dateinamen bei file-uploads (Allgemeines zu Perl)

[thread]14938[/thread]

Dateinamen bei file-uploads

Leser: 21

Articles: hide open all | hide show old branches

Teilbäume:
Dateinamen bei file-uploads (17 Artikel) 2010-04-14 22:11
verlinken von messages (11 Artikel) 2010-04-15 15:11

+18 replies
bianca

2010-04-14 20:16

User since
2009-09-13
7016 Artikel
BenutzerIn

2010-04-14T17:59:21 esskar
obwohl unter linux ein \ ein gültiger teil eines dateinamens ist.

Das ist jetzt hoffentlich ein Scherz, oder?
Wie soll man denn bei einem Dateiupload aus einem unbekannten Client-System zuverlässig den Dateinamen vom Pfad trennen?

mod-edit pq: teilbaum
Last edited: 2010-04-14 21:27:35 +0200 (CEST)
10 print "Hallo"
20 goto 10
- +10 replies
- esskar
  
  2010-04-14 20:29
  
  User since
  2003-08-04
  7321 Artikel
  ModeratorIn
  
  gefragt hab ich mich das eben auch, als ich das von dem \ erfahren hab.
  das der IE den pfad mitschickt, ist aber eh ein bug;
  wenn schickt der IE dann eh den vollen pfad, also
  [laufwerk]:\
  darauf kannst du dann als erstes prüfen.
  wenn das dann so an kommt, würde ich verfahren wie bisher (wenn sich ein spassvogel die mühe macht, die datei c:\foo\bar.uhu zu nennen, dann siehst du denn namen eben nur als bar.uhu) und dann würde ich noch alle seltsamen zeichen wie z.b. ?:\/ ... durch _ ersetzen.
  bedenke nämlich auch, dass man dir irgendwas als dateinamen senden kann (also nicht mit browser, sondern selbst programmiert über ein script).
  erwarte also auch immer unmögliches.
  - bianca
    
    2010-04-14 20:45
    
    User since
    2009-09-13
    7016 Artikel
    BenutzerIn
    
    2010-04-14T18:29:08 esskar
    bedenke nämlich auch, dass man dir irgendwas als dateinamen senden kann (also nicht mit browser, sondern selbst programmiert über ein script).
    erwarte also auch immer unmögliches.
    
    Jo, das ist für mich kein Problem. Ich speichere Uploads stets unter selbst ermittelten Dateinamen (Zufalls-Zahl) mit neutraler Extension auf dem Server ab und beachte dabei übertragene Namen und Pfade überhaupt garnicht und habe dann immer eine Zuordnungstabelle. Allerdings würde ich bei der Anzeige schon gern den ursprünglichen Dateinamen anklickbar anbieten. Und Deiner Meinung nach ist die Überlieferung des Pfades durch den IE ein Bug. Weiß ich nicht, hab die Spec nicht recherchiert.
    
    Ich finde es gut, dass der IE das so tut, weil ich dem Besitzer der Datei dann noch mehr Infos geben kann, das erhöht den Wiedererkennungswert der Datei durch den Benutzer und damit die Effektivität der Anwendung. Ich kämpfe vielmehr mit den anderen Tollpatschbrowsern, die den kompletten Pfad NICHT übertragen...
    So sind die Ansichten verschieden :)
    10 print "Hallo"
    20 goto 10
  - +8 replies
  - pq
    
    2010-04-14 20:57
    
    User since
    2003-08-04
    12209 Artikel
    Admin1
    
    2010-04-14T18:29:08 esskar
    das der IE den pfad mitschickt, ist aber eh ein bug;
    
    ich finde ja auch, es geht den server gar nix an, in welchem verzeichnis ich meine dateien ablege. bin schon froh, dass das mein browser nicht mitschickt.
    Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
    lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
    - +7 replies
    - bianca
      
      2010-04-14 21:06
      
      User since
      2009-09-13
      7016 Artikel
      BenutzerIn
      
      2010-04-14T18:57:39 pq
      ich finde ja auch, es geht den server gar nix an, in welchem verzeichnis ich meine dateien ablege. bin schon froh, dass das mein browser nicht mitschickt.
      
      Datenschutzrechtlich volle Zustimmung.
      Ich komme aus der Praxis. Und daraus kann ich nur sagen, je mehr Infos ich am Server habe, desto besser sind meine Möglichkeiten, diese zielgerichtet zum Vorteil der gesamten Anwendung nutzen zu können.
      Und dazu gehören auch Dateipfade. Stellt euch ein Büro vor, wo jeder auf seinem Home-Netzlaufwerk arbeitet und zum selben Projekt seine eigene "todo.xls" hochlädt. Nun? Glaub ihr wirklich, die könnten das allein daran unterscheiden, unter welcher Benutzerkennung das jeweilige hochgeladen wurde?
      Ich weiß definitiv, dass es nicht so ist :)
      10 print "Hallo"
      20 goto 10
      - +4 replies
      - pq
        
        2010-04-14 21:15
        
        User since
        2003-08-04
        12209 Artikel
        Admin1
        
        2010-04-14T19:06:45 bianca
        Ich komme aus der Praxis.
        
        ah, endlich mal jemand, der nicht nur theoretisch perl programmiert.
        wir anderen hier schreiben nur so zum spass programme, aber die gehen nie live ;-)
        
        Quote
        Und dazu gehören auch Dateipfade. Stellt euch ein Büro vor, wo jeder auf seinem Home-Netzlaufwerk arbeitet und zum selben Projekt seine eigene "todo.xls" hochlädt. Nun? Glaub ihr wirklich, die könnten das allein daran unterscheiden, unter welcher Benutzerkennung das jeweilige hochgeladen wurde?
        Ich weiß definitiv, dass es nicht so ist :)
        
        ich kann mir grad nicht vorstellen, wie so ein tool organisiert sein soll. benutzerkennung bei file-uploads über http? hat da nicht jeder eh eine eigene session mit userid und sowas?
        ich denke, das ist eine frage, wie man das tool programmiert.
        und nur weil man in einem tool gerne die dateipfade hätte und es nicht schafft, das tool anders zu programmieren, sollte der IE nicht per default überall die pfade mit angeben.
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        +3 replies
        
        pq
        
        2010-04-14 21:24
        
        User since
        2003-08-04
        12209 Artikel
        Admin1
        
        oder auch mal aus der praxis:
        in jira kann man dateien zu tickets hochladen.
        wenn jetzt zwei leute eine datei mit demselben namen hochladen, dann erscheint sie tatsächlich zweimal untereinander (leider kann man keinen dateinamen selber auswählen, was IMHO das beste wäre, oder meinetwegen dann versionsnummern autogenerieren).
        aber die alternative, statt des dateinamens den vollen clientpfad anzuzeigen, fände ich noch grausamer. wie soll man dann bei all den pfaden das wirklich wichtige, nämlich den dateinamen erkennen? und evtl. unterscheidet sich auch nur der laufwerksbuchstabe. dann lieber nickname-dateiname.suffix. ohne pfad.
        
        und auch hier sollte mein chef nicht erkennen, dass ich die datei unter /home/user/unwichtige_anfragen_vom_chef o.ä. abgelegt habe =)
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        +2 replies
        
        bianca
        
        2010-04-14 21:36
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2010-04-14T19:24:59 pq
        und auch hier sollte mein chef nicht erkennen, dass ich die datei unter /home/user/unwichtige_anfragen_vom_chef o.ä. abgelegt habe =)
        
        Müssen wir über solche DAU's wirklich reden?
        Wem heutzutage nicht bewußt ist, dass solche Verzeichnisnamen ein Chef auch ohne irgendwelche Uploads mitbekommen kann, ist doch wirklich selbst schuld, oder? Da richtet das Verhalten eines Browser nun wirklich nicht mehr oder weniger Schaden an.
        10 print "Hallo"
        20 goto 10
        
        pq
        
        2010-04-14 21:38
        
        User since
        2003-08-04
        12209 Artikel
        Admin1
        
        2010-04-14T19:36:58 bianca
        Müssen wir über solche DAU's wirklich reden?
        Wem heutzutage nicht bewußt ist, dass solche Verzeichnisnamen ein Chef auch ohne irgendwelche Uploads mitbekommen kann, ist doch wirklich selbst schuld, oder? Da richtet das Verhalten eines Browser nun wirklich nicht mehr oder weniger Schaden an.
        
        wie kann er das mitbekommen? würde mich mal interessieren. der hat jedenfalls kein login auf meinem rechner.
        
        hast du zu meinen anderen anmerkungen noch kommentare? oder war das jetzt etwas zuviel praxis? ;-)
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
      - Gast wer
        
        2010-04-14 21:26
        
        Und woher weiß ich das du zu den Guten gehörst?
      - pq
        
        2010-04-14 21:49
        
        User since
        2003-08-04
        12209 Artikel
        Admin1
        
        eventuell willst du ja auch einfach ein versionierungssystem. da kann dann jeder seinen folder haben und gut is.
        mir ist jedenfalls noch kein fall untergekommen, in dem der clientpfad irgendwie nützlich wäre. ansonsten hat man auf dem server ein pfadsystem, und beim hochladen wählt man zunächst den richtigen pfad aus.
        das hat den vorteil, dass die pfade tatsächlich nutzen bringen, einheitlich sind und das dann auch noch mit jedem browser läuft.
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
- +7 replies
- Gast wer
  
  2010-04-14 20:46
  
  Gar nicht, darum soll ja der Client den Namen Splitten.
  Das er IE das nicht macht ist ein Historischer Bug, um den man nun seit über 10 Jahren herum schifft. Zudem ist es auch nett wenn man überlegt, dass man Dateinamen wie "-e 'rm -rf .'" übergeben kann. Unter bestimmten Umständen führt die Shell das aus. Man kann sich wirklich nicht darauf verlassen was von Client kommt. Entweder man schmeißt alles raus was stört/gefährlich ist, oder man setzt einen eigenen Namen, den man generiert. Man kann den Originalnamen ja in einer Textdatei beilegen. Einfaches Splitten kann durchaus zu Problemen führen.
  Last edited: 2010-04-14 20:52:21 +0200 (CEST)
  - +6 replies
  - bianca
    
    2010-04-14 21:01
    
    User since
    2009-09-13
    7016 Artikel
    BenutzerIn
    
    Guest wer
    Das er IE das nicht macht ist ein Historischer Bug, um den man nun seit über 10 Jahren herum schifft.
    
    Sehr interessant, dass man soetwas dann heute noch als "Bug" bezeichnet. Für mich ist es ein Feature und ein Manko in allen anderen Browsern :))
    10 print "Hallo"
    20 goto 10
    - +5 replies
    - Gast wer
      
      2010-04-14 21:11
      
      Wenn ich als Hacker auf der Serverseite Informationen über das System bekommen möchte ist es sehr praktisch schon mal zu erfahren ob der Nutzer mit seinem Adminaccount oder einem Benutzeraccount unterwegs ist, oder ob er eine zweite Festplatte hat, und welche Ordner auf jeden Fall existieren. Also für mich ist es ein Bug, wenn der Browser Informationen preis gibt, die für den Nutzer praktisch keinen Mehrgewinn bringen einem Angreifer aber hilft.
      Für sich alleine ist das nicht viel, aber in Verbindung mit anderen Informationen kann es das bisschen sein, was den Angriff erst ermöglicht.
      Last edited: 2010-04-14 21:12:27 +0200 (CEST)
      - +4 replies
      - bianca
        
        2010-04-14 21:34
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Guest wer
        Also für mich ist es ein Bug, wenn der Browser Informationen preis gibt, die für den Nutzer praktisch keinen Mehrgewinn bringen
        
        Wer - außer dem Nutzer - will das denn abschließend beurteilen, ob der komplette Pfad von "damals" nach 3 jahren noch auf die Sprünge hilft? Du?
        Ich finde Deine Sichtweise etwas pauschal und unüberdacht. Sie spiegelt die vielen unausgereifen Webanwendungen wieder, die man heutzutage an jeder Ecke antrifft.
        10 print "Hallo"
        20 goto 10
        
        +2 replies
        
        esskar
        
        2010-04-14 21:41
        
        User since
        2003-08-04
        7321 Artikel
        ModeratorIn
        
        hmm, ich denke ein dateipfad würde mir auch nicht helfen, ehre ein
        todo.xls vom 14.4.2010, hochegeladen von esskar von Rechner SKPC oder so
        
        pq
        
        2010-04-14 21:42
        
        User since
        2003-08-04
        12209 Artikel
        Admin1
        
        pff, das ist viel zu praktisch!
        ;-)
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        Gast wer
        
        2010-04-14 22:09
        
        2010-04-14T19:34:26 bianca
        Wer - außer dem Nutzer - will das denn abschließend beurteilen, ob der komplette Pfad von "damals" nach 3 jahren noch auf die Sprünge hilft? Du?
        
        Wer außer dem Programmierer hat zu verantworten wie gut die Privatsphäre eines Nutzers geschützt ist? Neben dem Pfad kann doch auch das Zugriffsdatum und IP interessant sein, das damalige Passwort oder die Zeit, die er eingeloggt war, oder welche Seite er davor besucht hat, oder welches OS er nutzte.
        Das sind alles Informationen die einem Nutzer helfen sich zu erinnern. Man muss als Entwickler abwägen welche Informationen mehr schaden können als helfen. Und ich bin der Meinung, das ein Pfad sehr viel weniger Hilfe ist, als ein Datum oder ein Auszug aus der Datei.
        Last edited: 2010-04-14 22:11:35 +0200 (CEST)

View all threads created 2010-04-14 15:24.