Kako varno ravnate s prenosi datotek?

Question

Accepted Answer

**Prenosi datotek** so pogosta funkcionalnost, vendar pa predstavljajo pomembno varnostno tveganje — zlonamerne datoteke lahko vodijo do izvajanja kode, distribucije zlonamerne programske opreme ali kompromitiranja sistema. Varnostni prenosi zahtevajo preverjanje vrst datotek, velikosti in vsebine, varno shranjevanje datotek in njihovo previdno dostavljanje.

## Tveganja prenosa datotek

```text
Allowing users to upload files is dangerous if not secured:
  ✗ MALICIOUS executable/script files → could run on the server (e.g. uploading a web
    shell / script that gets executed → server compromise)
  ✗ MALWARE distribution (files served to other users)
  ✗ Oversized files → denial of service (disk/memory exhaustion)
  ✗ Path traversal in filenames (../../) → overwrite system files
  ✗ Files with misleading types/content (a .jpg that's actually a script)
```

## Varnostni prenosi datotek

```text
✓ VALIDATE file TYPE → check the actual CONTENT/MIME (not just the extension, which lies);
  ALLOWLIST permitted types (don't blocklist); reject everything else
✓ LIMIT file SIZE → prevent resource exhaustion (max upload size)
✓ Don't execute uploads → store OUTSIDE the web root; never serve from an executable
  directory; serve via a handler (not directly executable)
✓ RENAME files (random/generated names) → avoid path traversal and overwrites; sanitize
  filenames
✓ SCAN for malware where appropriate; set correct Content-Type/Content-Disposition when serving
✓ Use separate storage/domain or object storage (S3) for user files; access controls
```

## Zakaj je to pomembno

Razumevanje varnega upravljanja prenosa datotek je pomembno, ker so **prenosi datotek pogosta funkcionalnost s precejšnjimi varnostnimi tveganji**, zato je njihovo varno upravljanje bistveno, kar naredi to dragoceno praktično varnostno znanje.

Dovoljevanje uporabnikom za prenos datotek uvaja resne nevarnosti: **zlonamerne izvršljive/skriptne datoteke**, ki bi lahko tekom na strežniku (na primer spletna lupina, ki vodi do popolnega kompromitiranja strežnika — resna tveganja), distribucija zlonamerne programske opreme drugim uporabnikom, zavrnitev storitve iz prevelikih datotek, **prehod poti** v imenih datotek (prepis sistemskih datotek) in datoteke z zavajajočimi vrstami (datoteka .jpg, ki je dejansko skripta).

To naredi neasigurane prenose datotek za nevarno, pogosto izkoriščeno funkcionalnost.

Razumevanje, kako **varnostni prenosi** so ključno praktično znanje: **preverjanje vrste datoteke po dejanski vsebini/MIME** (ne samo po razširitvi, ki je lahko lagana) in **dovoljitev** dovoljenega tipa, **omejitev velikosti datoteke** (preprečevanje izčrpanja virov), bistveno **ne izvajati prenose** (shranjevanje zunaj korenske mape spletnega mesta in nikoli ne služenje iz direktorija, ki se lahko izvršuje — preprečevanje nevarnega scenarija izvajanja kode), **preimenovanje datotek** s samodejno generirane imena in čiščenje imen datotek (preprečevanje prehoda poti in prepisov), skeniranje zlonamerne programske opreme, kjer je ustrezno, nastavitev pravilnih vrst vsebine pri dostavljanju in uporaba ločene shrambe (kot je objektna shranba) z nadzorom dostopa.

Te mere naslavljajo posebna tveganja prenosa.

Ker so prenosi datotek pogosta funkcionalnost s precejšnjimi, resnimi tveganji (zlasti kompromitiranje strežnika prek izvršljivih prenosa) in njihovo varnostno upravljanje zahteva posebne ukrepe (preverjanje tipa/velikosti, neizvršljiva shranjevanja, preimenovanje, previdna dostavljanja) ter ker je razumevanje tega bistveno za vsako aplikacijo s prenosi, je razumevanje varnega upravljanja prenosa datotek dragoceno, praktično relevantno varnostno znanje — pomembno za pogosto, tvegano funkcionalnost prenosa datotek, naslavljanje resnih ranljivosti (izvajanje kode, prehod poti, zavrnitev storitve) s posebnimi obrambe in bistveno znanje za vsakega razvijalca, ki gradi funkcionalnost prenosa.