No hay control de acceso en la carga de archivos / la descarga de archivos de tipos seguros se considera una vulnerabilidad [cerrado]

0

Bajo el supuesto teórico de que las cargas de archivos estaban protegidas correctamente (es decir, no hay tipos de archivos maliciosos, extensiones, análisis, etc.), ¿cuáles son las preocupaciones de no tener control de acceso en las capacidades de carga / descarga de archivos si el único identificador era un GUID para acceder a un archivo cargado.

Creo que la principal preocupación que tengo es que podría ser utilizado como un servidor de alojamiento de archivos gratuito para medios pirateados, o podría estar inundado de archivos a granel para consumir el almacenamiento de datos e interrumpir el funcionamiento correcto del servicio.

¿Qué otros argumentos hay en contra de no tener control de acceso en las cargas de archivos?

    
pregunta Cyassin 07.03.2017 - 05:33
fuente

2 respuestas

3

Suponiendo que nada malicioso sea capaz de atravesar (una suposición enorme, ¡que asumiría que no es posible!). Sin control de acceso posiblemente atraerás:

  • DOS por carga masiva
  • Posible intercambio ilegal de contenido (incluido kiddy porno ...)
  • Vulnerabilidades de día cero en archivos que no puede proteger desde (esto queda fuera de su supuesto como el supuesto debe ser que siempre hay vulnerabilidades no detectadas);
  • No tendrá manera de bloquear cuentas o personas (las IP son dinámicas ...) cuando la policía se acerque
  • Verifique las leyes de sus países locales sobre quién es responsable del contenido. ¡En el caso de pornografía infantil, puede ser que seas responsable!

Esperemos que esto ayude un poco?

    
respondido por el Wealot 07.03.2017 - 07:52
fuente
1

Para ampliar un poco en la respuesta de @ Wealot , si desea beneficiarse de las disposiciones de seguridad del DMCA , parece puede haber un requisito para poder tratar con infractores reincidentes.

Absolutamente no soy abogado, pero tuve un cheque en la DMCA, y encontré este documento: enlace

  

la DMCA requiere que los proveedores de servicios "adopten e implementen razonablemente" una política de infracción reiterada que permita la cancelación de las cuentas de los usuarios "en circunstancias apropiadas".

Al revisar el documento de la EFF, parece (pero estoy leyendo entre líneas) que este requisito es de hecho bastante importante en términos de su capacidad para reclamar que Safe Harbor se aplica a usted.

    
respondido por el iwaseatenbyagrue 07.03.2017 - 12:11
fuente

Lea otras preguntas en las etiquetas