Beiträge von simmoz

Hallo JonHa

Nochmals Danke für Deine Antwort, welche ich verstehe - und deren Optik ich mich mittlerweilen anschliessen MUSS.

Meine Schlussfolgerungen:

A) Sicherheitsgewinn: aus rein haftungstechnischer Sicht macht es einen ERHEBLICHEN Unterschied aus, ob der Benutzer etwas NACHWEISBAR VON SEINEM COMPUTER auf einen Web Server uploaded, oder ob er sich hinter IRGENDWAS VIRTUELLEM, SPAETER NICHT MEHR NACHWEISBAREM verstecken kann (es ginge da natürlich um zweifelhafte Inhalte).

B) Du hast völlig recht - ich habs mittlerweilen nachgeprüft - Microsoft prüft lediglich ob da irgenwie ein Laufwerkbuchstabe vorhanden ist ! Wenn ich z.B. eine Datei anwähle ab einem gemounteten Neztwerk-Laufwerk, so vermeldet 'IsPathRooted' unter IE ganz frech 'true', trotzdem DIES UEBERHAUPT NICHT STIMMT ! Es geht also bei diesem Bit wirklich nur um das "Aussehen" des Pfad Namens - und nicht um Tatsächlichkeit.

C) Ich habe auch keine Quellen gefunden die 'IsPathRooted' genauer definieren

D) Somit KANN mein Sicherheits Problem gar nicht gelöst werden und ich (respektive meine Web Anwendung) muss damit leben - sowohl beim Firefox, als auch beim IE. Letztendlich erscheint mir die Bit Aussage des Firefox noch die bessere und vorallem ehrlichere, denn sie führt mich nicht aufs Glatteis so wie der IE !

Besten Dank jedenfalls für die professionelle und rasche Hilfe, simmoz

Hallo JonHa

Danke für Deine Antwort, welche ich verstehe - aus DEINER Optik.

Aus MEINER Optik möchte ich - gerade als Webseitenautor - sicher sein dass ***UPLOAD*** Daten aus einer sichern und vorallem NACHVOLLZIEHBAREN Quelle kommen - UND NICHT ***RELATIV*** ADRESSIERT SIND !

Als DAS verstehe ich das Bit 'IsPathRooted' - respektive den Sinn und Zweck dieses Bit. Der Benutzer hat ja auch wirklich eine 'Rooted' Auswahl vorgenommen - und nicht ***irgendwo*** quasi virtuell aufgesetzt.

"C:\bla\bla.jpg" ist ja nicht obligatorisch auch "Rooted" - es kann ja z.B. ein virtueller Punkt sein, welcher physikalisch nicht auf Root Ebene aufsetzt. Auf dem Web Server kann ich das NICHT rausfinden, auch wenn ich den ganzen Pfad vom Client/Browser bekomme. Einzig der jeweilige Client/Browser kann das wissen - und mir auf dem Web Server mitteilen - mit eben diesem Bit 'IsPathRooted'.

Wie DU die Firefox Interpretation verstehst, macht für mich KEINEN Sinn - denn aufgrund des FileNames "bla.jpg" kann jeder auf dem Web Server sehr gut selbst erkennen, dass da jegliche Root-Erkennungs-Komponente fehlt; IsPathRooted wäre somit also überflüssig.

- Hast Du ev. eine Quelle, wo ich die genaue Definition von IsPathRooted nachschlagen kann ?

- Hast Du eine Idee, wie ich mein latentes Problem lösen kann ?

- Liege ich völlig falsch ?

Besten Dank, simmoz

Hallo Freunde

Ich arbeite mit ASP.NET 2.0. Ich habe dabei ein Problem unter Firefox (Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.2) Gecko/20060308 Firefox/1.5.0.2). Es geht um FileUpload.

Als Benutzer meiner Web Site wähle ich die zu downloadende Datei aus der vorgesehenen Dialog Box aus - es ist als Beispiel "C:\Documents and Settings\sl\My Documents\My Pictures\01.jpg" - so wird es mir auch in der Dialog Box quittiert.

Im Programm prüfe ich dann folgendes:

***

FileUpload fileToUpload = xxx;

if (System.IO.Path.IsPathRooted(fileToUpload.PostedFile.FileName) != true) ...

// die Datei ist NICHT absolut adressiert - ich lasse Upload daher aus Sicherheitsgründen nicht zu, den ich kann die allfällige Quelle des allfälligen Uebels nicht lokalisieren !

***

Unter IE erhalte ich RICHTIGERWEISE als Antwort 'true' - und wenn ich die Variable fileToUpload.PostedFile.FileName inspiziere, so enthält diese korrekt "C:\\Documents and Settings\\sl\\My Documents\\My Pictures\\01.jpg"

Unter Firefox jedoch erhalte ich FAELSCHLICHERWEISE als Antwort 'false' - und fileToUpload.PostedFile.FileName enthält lediglich "01.jpg" !!! Das scheint mir falsch !!! Wenngleich hier natürlich fraglich ist, was mit ".FileName" gemeint ist !!! Aber mir scheint der ganze Pfad schon sinnvoll, sonst ist diese Prüfung auf ...IsPathRooted... ja gar nicht möglich !!!

***

Damit kann ich aus Sicherheitsgründen NICHT leben - ich kann Firefox SO NICHT ZULASSEN für meine Benutzer ! Da Firefox jedoch ein toller Browser ist - und da ich erstmal annehme das Problem sei irgendwo bei mir oder so - oder dass es allenfalls eine Umgehungslösung gibt - so möchte ich die Gurus um Rat bitten.

Frage:

- mach ich was falsch, was, wie muss ich es anders machen

- falls nein, gibt es eine Umgehungslösung, wie sieht die aus

- falls nein, wann ist mit einem verbesserten Verhalten von Firefox zu rechnen

Besten Dank für rasche Hilfe

simmoz (ich moz ja nie - ich frag nur !)

Hallo Dr. Evil and Mr. Mithrandir

Ihr seid die Gurus - und ich der Esel ! Besten Dank für den prompten Typ. IE ist da offenbar etwas lascher. Ich hoff, ich darf trotzdem wiedermal nachfragen.

Besten Dank und gute Nacht - Simmoz

Wer kann mir helfen ? Ich hab ne Home Page mit einigen Seiten. Alle mit dem gleichen DOCTYPE - so sollte es auch bleiben. Aber der Firefox macht Probleme mit dem DOCTYPE, und zwar beim 'onload' wie in folgendem Beispiel:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">

<html xmlns="http://www.w3.org/1999/xhtml" >

<body onload="setTB('OK');">

<script language="JavaScript">function setTB(myVar) { tb.value = myVar; }</script>

<input id="tb" value="NOT OK"/>

</body>

</html>

Wenn ich den DOCTYPE ganz raus nehme, so kommt "OK", wenn ich ihn drinne lass, so kommt "NOT OK".

Der DOCTYPE wird ja wohl nicht falsch sein ! Liegt es am Firefox ? Ich hab die neuste, engliche Version 1.5.0.2 - aber auch ätere Firfoxen tun da nicht wie ich möchte.

Wer kann helfen ?