it-swarm.com.de

Ist es gefährlich, Thumbs.db auf einem Webserver zu halten?

Windows Thumbs.db Systemdateien, die sich in den meisten Ordnern befinden, wurden mit allen anderen Dateien vom lokalen Host auf den Server hochgeladen.

Ist es gefährlich, wenn Sie vergessen, sie auf dem Server zu löschen?

Ich bin auf Shared Hosting mit * nix und Apache Server.

5
Haradzieniec

Es gibt keine direkte Bedrohung durch das Hochladen von Thumbs.db, selbst wenn die Leute sie herunterladen könnten, würden sie keine Informationen erhalten, die sich lohnen.

Möglicherweise wird ein Problem mit Ihrem Upload-Vorgang hervorgehoben. Dies ist einer der Gründe, warum FTP eine ineffiziente Methode zum Hochladen von Dateien darstellt. Zusätzliche Dateien, die Sie möglicherweise nicht hochladen möchten, werden möglicherweise nicht mehr angezeigt.

7
Toby

Thumbs.db enthält nur Thumbnail-Informationen für Bilder. Auf diese Weise können Sie beim Browsen mit dem Datei-Explorer diese schnell sehen. Es ist nicht gefährlich. Es kann sicher gelöscht oder ignoriert werden.

4
mrtsherman

Ich denke immer noch, dass diese Datei in einigen Fällen eine Bedrohung darstellen kann.

zB: Es ist eine Sicherheitslücke, wenn Sie nicht möchten, dass jeder die vollständige Bilderliste in einem bestimmten Verzeichnis kennt. Die Option Thumbs.db gefährdet diese Informationen. Es speichert Informationen über die Dateinamen, Änderungszeiten und es können auch Miniaturbilder abgerufen werden.

3
Gedrox

Ich würde nicht sagen, dass sie gefährlich sind. Die Datei thumbs.db ist nur eine automatisch generierte Datei, die zum Zwischenspeichern von Miniaturansichten verwendet wird.

Das Löschen von thumbs.db ist sehr schmerzhaft, da es sich immer wieder regeneriert und gesperrt wird. Daher würde ich vorschlagen, eine Logik zu schreiben, mit der versteckte Dateien vollständig ausgeschlossen werden.

2
James Johnson

Ich bin mit den anderen Antworten nicht einverstanden. In einigen Fällen ist dies ein geringes Sicherheitsrisiko, das sich jedoch erheblich auswirken kann. Es ist ähnlich, das Durchsuchen von Verzeichnissen zuzulassen.

Der Angreifer erhält eine Liste mit Dateinamen, die sehr schlecht sein können, wenn Sie an eine Seite wie Facebook denken, auf der Bilder durch ihren Namen pseudoverdeckt sind.

Wenn es ein Thumbs.db in diesem Ordner geben würde, würden Sie Profilbilder und Facebook-IDs einiger hundert Benutzer erhalten: https://fbcdn-profile-a.akamaihd.net/hprofile-ak-ash3/c170.50.621.621/s160x160/.

Wenn sich in jedem Ordner ein Thumbs.db befindet, können Sie problemlos auf alle Bilder und Facebook-IDs jedes einzelnen Benutzers zugreifen. Mit der ID können Sie auch echte Namen für jedes Bild abfragen. Das wäre riesig!

Beachten Sie auch, dass Thumbs.db nicht vom Server aktualisiert werden. So können auch Daten von gelöschten Bildern gespeichert werden.

Ich würde raten, alle Thumbs.db vom Webserver zu löschen. Sie gehören nicht dorthin, sie haben keine Verwendung, aber sie könnten ein Risiko darstellen.

2
PiTheNumber

Nicht, dass es nicht wirklich gefährlich ist, da die Datei nur vom Windows Explorer für den Thumbnail-Cache verwendet wird: http://en.wikipedia.org/wiki/Windows_thumbnail_cache .

Ich rate Ihnen jedoch, nicht nur unnötige Dateien auf Ihrem Server zu belassen und diese zu löschen, wenn Sie in den Produktionsmodus wechseln.

1
Julien Bourdon