Каковы последствия для безопасности "Отправки произвольных файлов" в разрешениях
Для моих веб-форм я хочу получать вложения, когда получаю электронное письмо. У меня были проблемы с их получением, пока я не установил разрешения для анонимного пользователя, чтобы разрешить им использовать "Отправлять произвольные файлы".
Внизу есть предупреждение:
Предоставляйте только доверенным ролям; это разрешение имеет последствия для безопасности.
Кто-нибудь знает, каковы последствия для безопасности?
Спасибо!
1 answers
Это означает, что MimeMail (потому что это разрешение MimeMail) сможет прикрепить файл, который не находится в каталоге общедоступных файлов, например, личные файлы, settings.php или любой другой файл в вашей файловой системе.
Однако использование этого разрешения обязательно для прикрепления личных файлов, например, потому что они находятся за пределами каталога общедоступных файлов.
В чем заключаются проблемы безопасности? Ну, это зависит от того, что вы прикрепляете к своему электронному письму и как. Например, если путь прикрепленный файл зависит от некоторого пользовательского ввода, пользователь потенциально может создать специальный ввод, который может привести к прикреплению определенных файлов, таких как settings.php файл или любой личный файл (если злоумышленник знает путь к файлу или может его угадать). Если ваш код этого не позволяет, вы, вероятно, в безопасности.
Например, у вас могут быть личные файлы на ваших узлах, и ваш код просто отправляет по электронной почте личный файл определенного узла с учетом его nid
, и вы получаете nid
сформировать кнопку в полном представлении узла страница. В этом сценарии, похоже, злоумышленник не может создать отправку, в результате которой будет прикреплен произвольный файл.
Разрешение "отправлять произвольные файлы" позволяет вам прикреплять или вставлять файлы, расположенные за пределами каталога общедоступных файлов Drupal. Обратите внимание, что это имеет последствия для безопасности: произвольный включает даже ваш settings.php! Отдавайте только доверенным ролям!
Также проверьте, как MimeMail использует "отправлять произвольные файлы" разрешение