원격 이미지의 보안 위험

Question

내 웹 사이트 중 하나에서 사용자는 파일 저장에 비용을 지불하므로 자연 스럽 게도 많은 리소스를 원격 서버에 오프로드하려는 경향이 있습니다. 특히 파일 형식을 내 서버에서 위험한 파일을 방지하십시오.

대부분의 경우이 위험하지 그들의 기계가 그것을 얻을 수 있도록 내 서버가 그들에게 URL을 제공하기 위해이 문제가되지 않습니다, 그러나 이것은 문제가 될 수 있습니다 때 한 경우가 있습니다 :

내 웹 사이트에 내 데이터베이스의 모든 항목에 액세스 할 수있는 스크립트가 하나 있으며 공개보기를 위해 해당 항목과 연결된 이미지의 URL을 반환합니다. 그래도 내 서버에 위협이되지는 않지만 문제는 책임입니다. 다른 모든 경우에 대해 사용자는 팀과 공유하는 것에 대한 책임이 있지만 공개 된 경우 이론적으로 문제가 될 수 있습니다.

내 웹 사이트에 사용자가 제공 한 원격 이미지를 표시 할 위험이 있으며 책임을 물을 수있는 방법 (사용자가 서비스 약관에 업로드 한 콘텐츠에 대한 책임이 있다고 말하는 것 외에는)은 무엇입니까?

Answer 1

책임 성은 정의상 기술적 인 문제가 아니라 법적 문제입니다. 이 질문의 법적 측면에 대한 조언은 드릴 수 없습니다.

기술적 인 관점에서 고려해야 할 몇 가지 문제가 있습니다. 예를 들어, 이러한 이미지를 호스팅하는 서버는 분명히 이미지를 보는 사용자의 IP 주소를 받게됩니다. 귀하에게 중요한 것이 귀하의 웹 사이트의 성격에 달려 있는지 여부.

고려해야 할 또 다른 문제는 웹 사이트의 페이지 URL이 이미지를 호스팅하는 서버 (예 : Referrer HTTP 헤더)로 전달 될 수 있다는 것입니다. 응용 프로그램에 중요한 데이터를 URL 매개 변수로 사용하는 페이지가 포함되어 있고 해당 페이지에 사용자 지정 이미지가 표시되면 해당 데이터가 노출됩니다.

마지막으로, 악의적 인 (또는 영리한) 사용자가 실제로 일부 스크립트에 따라 이미지를 지정할 수도 있습니다.이 이미지는 일부 변수에 따라 다른 데이터를 반환합니다. (또는 심지어 더 간단합니다 : 파일을 삽입 한 후에 하나의 파일을 다른 파일로 대체 할 수 있습니다.) 웹 사이트가하는 일에 따라 문제가 발생할 수 있습니다. 예를 들어 웹 사이트에 이미지 크기에 제한이있는 경우 사용자는 허용되는 크기의 이미지를 삽입 한 다음 나중에 큰 이미지로 교체 할 수 있습니다.