ImageMagick niet veilig

Hulp bij het installeren van of op zoek naar een extensie?
Plaats reactie
Henk-1
Berichten: 1
Lid geworden op: 22 okt 2018, 11:32

ImageMagick niet veilig

Bericht door Henk-1 » 22 okt 2018, 12:02

Hoi PHPBB.nl,

Ik heb al 11 jaar het PHPBB forum wat enorm bevalt.
Draai nu op de nieuwste versie PHPBB 3.2.3
Mijn forum draait op www.weetjewel.nl een site voor de VW Transporter T4 T5 T6 T7 en ID buzz.
Een uit de hand gelopen hobby zeg maar

Wil graag dat grote foto's automatisch verkleinen, net als marktplaats.nl
Nu heeft PHPBB standaard ImageMagick toegevoegd.
Mijn hosting heeft dit niet standaard op de server staan en heb hem gevraagd dit toe te voegen.

Hij zei ImageMagick is niet veilig :shock: :shock: :shock: :shock: :shock: :shock: :shock: :shock: :shock:
------------------------------------------------------
Beste Henk,

Helaas in verband met veiligheid niet,
recent lek in imagemagick: https://tweakers.net/nieuws/142395/ghos ... -code.html
en tevens omdat imagemagick enkel werkt in een account met safemode uit, dit brengt een beveiligings issue met zich mee.
Je website is daardoor 80% meer vatbaar voor hackers omdat de bestand beveiliging uitstaat, verkeerde rechten (chmod) of een foutief script, en je website is benaderbaar.
-------------------------------------------------------

Hij gaf als tip dat het ook wel kon met GD die standaard in PHP zit, maar kan hier niets over vinden .

Ik heb nog wel een andere extension gevonden die foto's automatisch verkleinen.
Ga me daar maar eens op verdiepen van hoe en wat.

Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20297
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:

Re: ImageMagick niet veilig

Bericht door Paul » 22 okt 2018, 13:22

Waar ik me veel meer zorgen over zou maken is dat je hosting een erg oude versie van php gebruikt, aangezien safe mode in php 5.4 verwijderd is: http://php.net/manual/en/features.safe-mode.php
safe mode zorgde er ook niet voor dat php veiliger werd, het was meer een schijnveiligheid en gaf meer problemen als dat het dingen oploste.

Een random security lek aanmerken om niet iets te installeren vind ik persoonlijk nogal krom. Dan kan je beter alle software van de server afhalen, want er is geen enkel stuk software welke geen security issues heeft gehad in het verleden.

Gebruikersavatar
AarClay
Berichten: 770
Lid geworden op: 10 feb 2005, 17:12

Re: ImageMagick niet veilig

Bericht door AarClay » 19 nov 2018, 11:30

Wel een zeer bizarre reactie. Het lek kan eenvoudig door de systeembeheerder van de server worden gedicht, door de policy-file aan te passen. En mogelijk door het programma te updaten.

De gebruiker hoeft er niks van te weten. Ik zou zo'n hosting qua expertise totaal niet vertrouwen, na zo een reactie.

Plaats reactie