Discussion :

[voxgaming]

Salut,
Petite question pour les devs qui ont l'habitude de travailler avec les flux partenaires des plateformes d'affiliations.

Via un script PHP sur mon serveur je :
- récupère une archive .csv.gz ( un catalogue partenaire) sur un site tiers
- la copie
- la décompresse et enregistre le nouveau fichier .csv pour pouvoir travailler avec ( en gros envoyer les données en base)

Je me pose la question de la sécurité. Les sites d'affiliation sont super connus et sérieux mais personne n'est à l'abri d'une faille et donc je me sens pas à l'aise d'upload sur mon serveur des fichiers tiers.

Comment gérez-vous la sécurité dans ce genre de cas... hormis la solution de travailler sur un serveur spécifique qui ne ferrait que ce genre d'opérations "risquées"

Merci d'avance pour vos réponses.

[grunk]

Ce qui peut être fait :
- Vérifier si les partenaires fournissent un hash permettant de vérifier l'intégrité du fichier
- Télécharger le fichier dans un dossier spécifique et protéger par un antivirus (type clamAV)
- Si le check anti virus passe , vérifier le type mime des fichiers via fileinfo
- Idem pour le/les fichiers contenu dans l'archives.

Dans tous les cas , comme tu n'executes pas les fichiers , le risque est assez limité.

[voxgaming]

Salut grunk
Merci pour ton aide.
Pour clamav est ce que c'est nécessaire de mettre à jour la dépendance Composer très régulièrement pour la MAJ ( comme sur un antivirus pour PC) ou c'est une installation qui peut permettre une utilisation longue durée sans MAJ?
J'ai plusieurs fois lu sur des forums que le type MIME était facilement manipulable.

Dans tous les cas , comme tu n'executes pas les fichiers , le risque est assez limité.

Vu que je décompresse le .gz est ce cela ne revient pas à l'exécuter? Si oui est-ce que cela existe des .gz vérolés qui s'activent à la décompression?
Merci encore pour ton aide.

[grunk]

ClamAV n'a rien à voir avec PHP , c'est un antivirus comme n'importe quel autre.
Tu peux ensuite l'appeler en ligne de commande (et donc avec PHP) pour lui demander de scanner un dossier/fichier.

J'ai plusieurs fois lu sur des forums que le type MIME était facilement manipulable.

Oui , mais fileinfo , extrait le mime type en fonction de certaines suite d'octet dans les fichiers. Ce n'est pas une simple falsification d'extension ou d'entête http. Ca reste falsifiable , mais c'est une sécurité supplémentaire.

Vu que je décompresse le .gz est ce cela ne revient pas à l'exécuter?

Comme ca je dirais que non, c'est l'archiveur que tu exécutes et lui ne fait que lire le fichier. Le plus simple pour tester c'est d'essayer de décompresser un fichier sur lequel tu n'as pas le droit d'exécution.

est-ce que cela existe des .gz vérolés qui s'activent à la décompression?

je ne sais pas.

[voxgaming]

Pour ClamAV, comme j'ai vu une dépendance sur packagist j'ai pensé bêtement qu'elle se suffisait à elle même ... sans penser que cette dépendance s'appuyée sur sur un .exe
Merci pour toutes tes réponses.