質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
ファイル

ファイルとは、文字列に基づいた名前又はパスからアクセスすることができる、任意の情報のブロック又は情報を格納するためのリソースです。

アップロード

アップロードは特定のファイルをウェブサーバに送るプロセスのことを指します。

Q&A

解決済

3回答

2842閲覧

【ファイル拡張子】アップロードするべきではない拡張子は何がありますか?

hasshy

総合スコア102

ファイル

ファイルとは、文字列に基づいた名前又はパスからアクセスすることができる、任意の情報のブロック又は情報を格納するためのリソースです。

アップロード

アップロードは特定のファイルをウェブサーバに送るプロセスのことを指します。

0グッド

0クリップ

投稿2019/10/03 03:58

編集2019/10/03 06:52

ファイルアップローダーを作りたいので、アップロードを禁止する拡張子は何が良いでしょうか?

もちろん、限定した方が安全な事は理解しています。
どちらかというと、仕様検討していて説得する材料を探している状況です。

用途

ショップからお客様(エンドユーザー)に、帳票(Excel、Word等)やPDF、画像を個別に送る事を想定しています。

仕様について

任意のタイミングでメールかメッセージアプリでファイルを送ります。
メールの場合は添付、
メッセージアプリの場合はダウンロードリンクを付与します。

帳票(Excel、Word等)やPDF、画像とは書きましたが、
現時点では使用する形式が決まっていないので、どのようなファイルでも送れるようにしたい。

懸念事項

下記のことから、限定する拡張子を調べています。

  • 送信元が悪意のあるファイルを送信する可能性があるので限定した方が良いのでは無いか?
  • 自由にすると、mimeタイプの指定ができないのではないか?

禁止する想定の拡張子

汎用的に使うものなので、画像、PDF、Officeファイルだけという限定はしません。

  • .EXE
  • .COM
  • .BAT
  • .CMD
  • .PIF
  • .SCR
  • .VBS
  • .HTML
  • .VBE
  • .JS
  • .JSE
  • .WSF
  • .WSH
  • .ZIP
  • .LZH
  • .RAR
  • .CAB
  • .DOC
  • .XLS
  • .MDB
  • .PPT
  • .7Z

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

t_obara

2019/10/03 05:47

アップロードしたファイルをどのように利用する予定なのでしょうか? 何もせず、ただ収集するだけであれば、拡張子なんてきにする必要は全くありません。誰にでも公開する予定のファイル共有用でしょうか?その場合どのようなポイントが懸念点になるのでしょうか?勝手にウイルスをばら撒かれないようにすること? そのあたりをご提示された方がより適切な回答が得られやすくなるのではないでしょうか。
hasshy

2019/10/03 06:13

ご指摘いただきありがとうございます。 用途について詳細に追記させていただきます。
t_obara

2019/10/03 06:30

お客様とはエンドユーザーでしょうか?現時点で仕様が決まっていないとしていますが、最終的には決めないのですか?ちなみに、メール添付などの場合、ウイルス対策ソフトで弾かれるものがあるので、正規のものだとしてもうまくお客様に届かない場合もあります。これらのことからホワイトリストの方が好ましいかと現時点では思います。
hasshy

2019/10/03 07:02 編集

ご指摘ありがとうございます。 おっしゃる通り、ホワイトリストで対応するのが良いと思います。 > お客様とはエンドユーザーでしょうか? はい。 > 最終的には決めないのですか? 実装側としては決めたいです。 ただ、クライアントはショップ側に悪意は基本的に無く、もし問題が発生した場合は自己責任とする意向なので決められない状態です。 > ウイルス対策ソフトで弾かれるものがあるので、正規のものだとしてもうまくお客様に届かない場合もあります。 なるほどですね。 そこも調査して、クライアントと摺り合せればホワイトリストの件を実現できるかもしれません。
t_obara

2019/10/03 07:35

クライアントが「とにかく安く作ってくれ」という要望だと面倒ですね。ショップ側にたとえ悪意がないとしても、意図せずにウイルスに感染し、感染したファイルを送信してしまうというリスクもありますが、これだと拡張子をどのようにしても防ぐことができません。本来的にはサーバー側でウイルス対策ソフトを動かしてチェックするのが良いかと思いますが、それよりも拡張子のホワイトリストの方が実効性が薄いけど安くできるという言い方はできるかもしれません。
hasshy

2019/10/03 07:55 編集

度々ご回答いただきありがとうございます。 対策はソフトを導入するより、ホワイトリストの方が安くできるという交渉の材料になりそうです。 ありがとうございます。
q_sane_q

2019/10/03 08:40

ホワイトリストなら、それっぽい拡張子をいくつか選定しておいて、要望があったら追加していけばいいのではないでしょうか そんなたくさんにはならないと思いますけど。 ユーザが開けなければ意味がないのでそんなにトリッキーな形式で送りつけることはないでしょうし、割と簡単に内容が書き換えられるOfficeっぽいものもそんなに使わないと思いますし
hasshy

2019/10/04 03:06

q_sane_qさん こちらにもご回答いただきありがとうございます。 技術的な質問では無くなってしまい失礼しました。 運用方法としてはお伺いした方法が望ましいです。 あとは、クライアントの意向次第です…。
guest

回答3

0

拡張子ってほんとにたくさんあるので、変なのを上げて欲しくないのであれば、通さないものを指定するブラックリストより運用サイドの意見を集約して通すものを指定するホワイトリスト型がいいと思います。

まあ拡張子を偽装してあげられたら通ってしまいますが

投稿2019/10/03 04:24

q_sane_q

総合スコア610

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

hasshy

2019/10/03 04:38

運用についてご指摘いただきありがとうございます。 ホワイトリストというのはイメージが付きやすいですし、説明しやすくて良いですね。
guest

0

ベストアンサー

アップロードを禁止する拡張子は何が良いでしょうか

ブラックリスト形式でフィルターするのは抜けがかなり発生すると思います。

質問に記載されている例を見てもざっと以下が抜けている。
※MS Office系の拡張子を挙げていますが、一太郎などの個別アプリケーションを挙げるときりがないですよ。

ブラックリスト形式でやるなら、このへんから抽出してきてはどうでしょう。
※ここに載っているのでもごく一部ですが。。。
https://www.weblio.jp/cat/computer/binex


※全部上げられないので極一部のみ

.HTMLを禁止するなら、

  • htm
  • mhtml
  • mhtm
  • xhtml
  • xhtm
  • css
  • js
  • xslt

... etc...

.BATを禁止するなら

  • ps1

... etc...

docを禁止するなら

  • mdbx
  • xlsx
  • xlsm
  • xlxt
  • docx
  • docm
  • dot
  • dotx
  • pptx
  • pptm
  • pot
  • potx
  • potm
  • thmx
  • ppsx
  • ppsm

... etc...

投稿2019/10/03 04:35

編集2019/10/03 04:44
Y.H.

総合スコア7914

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

hasshy

2019/10/03 04:41

詳しくご説明いただきありがとうございます。 やはり一朝一夕で確定できるものではないですね。
Y.H.

2019/10/03 05:16

>仕様検討していて説得する材料を探している状況 であれば、ブラックリスト方式の場合は「設定ファイルやDBなどで指定できるようにしておくので一覧を下さい。または、運用で適時追加してください。」でいいんじゃないかな? まぁ、ホワイトリスト方式でもリスト持つのは同じだけど。。。
hasshy

2019/10/03 05:22

なるほど… 確かに運用する人が変更できる形にするのもありですね。 ありがとうございます。
q_sane_q

2019/10/03 05:39

運用サイドでリストを操作できるようにするのなら、どのレベルのユーザが操作できるのかという権限付けと誰がどう操作したかのログ取りが必要でしょうね。 悪しきユーザに必要ファイルを(悪意の有無は関係なく)ブロックされるかもしれないですし 運用サイドに「追加」の操作権を与えると「間違えたので消したい」と今度は 「削除」 の権限を要求されそうですし そうすると悪しきユーザが「リストに穴を開けてファイルをアップしたあとリストを戻す」という凶行に走ったりしますので
hasshy

2019/10/03 05:45

q_sane_qさん ご回答いただきありがとうございます。 運用する側のリスクもありますね。 確かに不用意に穴を作りそうです… 単純な機能追加ではなく、色々な利用方法を想定するべきですね。 ご指摘ありがとうございます。
guest

0

あなたがアップロードされたくないものを規定すれないいのでは。
全く関係ない他人に聞いてわかるというもんでもないでしょう

投稿2019/10/03 04:18

y_waiwai

総合スコア87719

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問