Interdire les fichiers HTML

le12epilote · ‎21 May 2010

Bonjour,

J'écris un deuxième post pour cette question différente de la précédente.

Alfresco permet la création via l'interface web de fichiers HTML. Il est également possible de les uploader, via l'interface web ou tout autre interface (CIFS/SMB, FTP, WebDav, etc).

Or, lorsque l'on clique sur "View in browser", le fichier HTML est interprété par le navigateur. Si le fichier contient du code Javascript, celui-ci est interprété.

Je considère que c'est un vecteur d'attaque important. Il serait possible ainsi de récupérer les cookies de l'utilisateur consultant le document HTML, ou tout autre attaque XSS.

Je cherche donc des solutions pour interdire la création ou l'upload de fichiers HTML, et ce par quelqu'interface que ce soit.

J'envisageai de créer un règle qui
- Convertirai en PDF
- Déplacerait le fichier vers un répertoire dont personne n'a l'accès / Effacerai le fichier HTML original

Avez-vous d'autres solutions ou d'autres propositions ?

Merci d'avance !

jm_pascal · ‎21 May 2010

Hello,

Des idées en vrac…
Une règle de gestion qui supprime directement le fichier html (radical…)
Une règle de gestion qui renomme les fichier html en .txt
Créer une (surcouche) d'interface d'upload unique qui vérifie le mimetype du fichier et l'interdit. Cette surcouche peut être soit via les services Alfresco dans les pages jsp, soit un webscript…

Voili voilou… :roll:

le12epilote · ‎21 May 2010

Merci de votre réponse,

Voulant garder la possibilité d'utiliser plusieurs interfaces, je pense m'intéresser à la rédaction d'une règle qui efface les fichiers HTML. Est-il possible d'interdire leur création dans l'interface web ?

Connaissez-vous d'autres types de fichiers qui pourraient être interprétés par le navigateur et donc potentiellement dangereux ?

Merci d'avance.