Q&A
どういう目的で、どのようなファイルをアップロード・ダウンロードさせるのでしょうか?
前提・実現したいこと
- ファイルアップロード機能があるWebアプリケーション上でのウィルススキャンについて
環境
- AWS ECS(Fargate)
実行環境 - Spring-Boot2
アプリケーション - S3
ファイル保存先
聞きたいこと・知りたいこと
-
上記環境において、アップロードされたファイルにウィルスが混入されていないことを保証するためには、どのような方式が一般的か、ベストプラクティスは何かを知りたいです。
-
アップロード時のリクエスト中にウィルスのチェックをする方式もあれば、一旦アップロードはさせてアプリ上でファイルは公開しないように作り込み、定期バッチでウィルスチェックを行い問題なければアプリにて公開する、といった方式もあると思います。
-
色々と方式があるかなと思いますが、それぞれメリット・デメリット、おすすめなど幅広く情報を集めることができればと思います。
目的は、ユーザ間でのファイル共有に近いですね。
よって、画像のみとかではなく、ドキュメント、zip、実行ファイルなど様々なファイルを想定しています。
アップロードする側もダウンロードする側も不特定多数、ということで間違いないでしょうか?
いえ、基本的には認証したユーザのみですね。
「認証」とは、どの程度のことを行うのですか?
通常のユーザ・パスワード認証ですね。
登録自体は誰でも可能なのですか?
いえ、認証されたユーザのみです。
すみません、ファイルの登録ではなくアカウント登録の話でした。
(サインアップフォームがあって誰でも可能なのでしょうか、それとも運営側がアカウントを発行する形態なのでしょうか)
サインアップは出来るけど、最終的に運営側が承認してアカウントを払い出す感じですね。
運営側は、どういう基準で承認を行うのですか?
対して厳しい基準ではなく、ちゃんと名前や住所が入力されてるかどうかですね。
「あああ」とか電話番号「1234567」とかじゃなければぐらいの。
つまり、アカウント登録自体は誰でも可能、ということで間違いないですか?
そうですね、登録申請は誰でも可能。
申請が受理されてアカウントとして登録されるかは運営の承認処理次第って感じです。
回答1件
0
特定ユーザーにアプリケーションをアップロードさせて不特定多数の人に閲覧させるのでしょうか?
なにかあったときのためアップロードユーザーを特定する情報は掴んでおくとしても
原則、ダウンロードユーザーの自己責任だと思います
投稿2020/07/29 01:14
総合スコア116835
もちろんなんらかの理由でそういうサービスをするなら
アップロードされたファイルをそのタイミングでウィルススキャンするのは
マストだと思っておいたほうがよいですね
そうですね、一般的にはダウンロードユーザの自己責任という考えは僕もわかりますね。
ありがとうございます。
あなたの回答
tips
プレビュー
