Interdire les fichiers HTML

cancel
Showing results for 
Search instead for 
Did you mean: 
le12epilote
Member II

Interdire les fichiers HTML

Bonjour,

J'écris un deuxième post pour cette question différente de la précédente.

Alfresco permet la création via l'interface web de fichiers HTML. Il est également possible de les uploader, via l'interface web ou tout autre interface (CIFS/SMB, FTP, WebDav, etc).

Or, lorsque l'on clique sur "View in browser", le fichier HTML est interprété par le navigateur. Si le fichier contient du code Javascript, celui-ci est interprété.

Je considère que c'est un vecteur d'attaque important. Il serait possible ainsi de récupérer les cookies de l'utilisateur consultant le document HTML, ou tout autre attaque XSS.

Je cherche donc des solutions pour interdire la création ou l'upload de fichiers HTML, et ce par quelqu'interface que ce soit.

J'envisageai de créer un règle qui
- Convertirai en PDF
- Déplacerait le fichier vers un répertoire dont personne n'a l'accès / Effacerai le fichier HTML original

Avez-vous d'autres solutions ou d'autres propositions ?

Merci d'avance !
2 Replies
jm_pascal
Active Member

Re: Interdire les fichiers HTML

Hello,

Des idées en vrac…
Une règle de gestion qui supprime directement le fichier html (radical…)
Une règle de gestion qui renomme les fichier html en .txt
Créer une (surcouche) d'interface d'upload unique qui vérifie le mimetype du fichier et l'interdit. Cette surcouche peut être soit via les services Alfresco dans les pages jsp, soit un webscript…

Voili voilou…  :roll:
le12epilote
Member II

Re: Interdire les fichiers HTML

Merci de votre réponse,

Voulant garder la possibilité d'utiliser plusieurs interfaces, je pense m'intéresser à la rédaction d'une règle qui efface les fichiers HTML. Est-il possible d'interdire leur création dans l'interface web ?

Connaissez-vous d'autres types de fichiers qui pourraient être interprétés par le navigateur et donc potentiellement dangereux ?

Merci d'avance.