Q&A
「railsアプリでjsファイルを受け付ける場合」とありますが、「誰が」「どういう目的で使う」ファイルをアップする前提で考えていますでしょうか。「管理者がページ書き換えをやりやすくするために専用のフォームを作る」「サイトのユーザーが、カスタマイズできるように自分が使うJavaScriptをアップロードする」「JavaScriptを共有するサイトで、不特定が不特定に向けてアップロードを行う」など、目的によって考え方が全く違ってきます。
railsアプリでjsファイルを受け付ける場合、ウイルスがアップロードされたりするのを防ぐための方法はありますか?
snsで画像とテキストとjsやcssを使用して作品のようなものを投稿するサイトがあるとして、htmlでjsを読み込みます。
それをほかのユーザーが見れるサイトです。
jsファイルは主に3dやアニメーションやビジュアルに特化したもののみ受け付けたいです。
どういう危機があり、どういう対策ができるのか、ざっくりでもいいので教えてください
回答2件
0
コメントありがとうございます。やはりそうですか。。javascriptてそれほど自由なのですね。
では、逆に、javascriptは3dやアニメーションを描写できるじゃないですか?そのようなもので安全な言語などはあるのでしょうか?やはり自由度が高い分そのようなものは不可能なのでしょうか?
あとcssや画像にウイルスを仕込むことはできるのでしょうか?cssや画像はhtmlで読み込みます。
投稿2018/10/10 05:59
総合スコア67
> あとcssや画像にウイルスを仕込むことはできるのでしょうか?
コンピューター的には全く動作に異常は出ないのですが、グロテスクな画像などを使うことで見た人間に悪影響を及ぼす「精神的ブラクラ」なんてものも存在します。
わざわざありがとうございます。
cssやimgは割と安全なんですね。
そんな古典的なものもあるんですね笑
「画像の内容の問題」も、呑気に考えてはよくありません。
著作権侵害や児童ポルノなどは、しっかり対応しないとサーバ管理者側が法的責任を問われかねない事態に発展する危険があります。
> あとcssや画像にウイルスを仕込むことはできるのでしょうか?
画像や動画・さらにはフォントファイルにウィルス(というか任意コード実行)が仕込まれた事例は存在します。
(まぁOSやブラウザのバグを用いたものなので滅多に作られるものじゃありませんが)
さらには、cssだけで作られたキーロガーなんてものがあったりします。
0
ベストアンサー
それをほかのユーザーが見れるサイトです。
はっきり言いますが、ユーザーが自由に投稿できるサイトで、JavaScriptを「3dやアニメーションやビジュアルに特化したもののみ」と限定するのは、事実上不可能です。
とりわけ、JavaScriptはユーザーのブラウザの中で実行しますので、サーバサイドの実行ならまだ可能な「この機能を使えなくする」というような対策も、容易には行えません。ブラウザにセキュリティホールがあれば、そこを突くようなJavaScriptも投稿できてしまいます。
ということで、「ユーザーがJavaScriptプログラムを投稿して、それを第三者が安全に見られるようにする」というのは、手動で1つ1つ審査するのでもなければ極めて困難です。「ざっくり」言うなら、「セキュリティの専門家と連携を取らなければ、一般公開してはならないサイト」というのが適切です。
投稿2018/10/10 05:54
総合スコア145183
コメントありがとうございます。やはりそうですか。。javascriptてそれほど自由なのですね。
では、逆に、javascriptは3dやアニメーションを描写できるじゃないですか?そのようなもので安全な言語などはあるのでしょうか?やはり自由度が高い分そのようなものは不可能なのでしょうか?
あとcssや画像にウイルスを仕込むことはできるのでしょうか?cssや画像はhtmlで読み込みます。
あなたの回答
tips
プレビュー
