#1

你好所有的,@asmecher@NateWr

我不想撞到这个话题,但这是一个需要解决的问题。

我们收到了来自网络安全服务的“入侵”警告,是关于一个用户吹嘘已经黑了我们的服务器。他们所做的只是在个人资料上发布一个PNG格式的文件,内容是说他们黑了我们(例如,ojs/public/site/images/username/file-name.png !)

不幸的是,OJS可能会被滥用,并导致很多麻烦(包括因托管非法内容而被起诉)。如果一个垃圾邮件用户在他们的个人资料上发布色情图片,并在他们的社交媒体上传播链接,我们的服务器就会成为攻击我们机构形象的目标。

因此,我们对用户在我们的域内做的或被允许做的任何事情负有法律责任。

OJS可以让我们禁用用户头像上传,或从用户头像中删除这一点,以防止这种干扰行为。而且,根据我们的经验,大多数用户都不使用这个字段。

尽管如此,在发布期间,这可以在文章页面中被允许,这将更加安全,因为只有授权的内容才会被发布。它可以在元数据侧栏的抽象页面中发布,并包含作者信息。所以,照片将是所有作者的,而不仅仅是提交文章的作者。

#2

你好所有的,@asmecher@NateWr

我找到了控制公共文件插件并安装了它。
然而,这并不能阻止用户上传假照片,所以我们在用户公共表单模板上评论了特定的行。

#3

我们不认为这是安全漏洞,只是在网上运行应用程序的一种危险。例如,我可以在Twitter上做同样的事情。但我想有些人已经把它关掉了。@ctgraham你是否有一个插件禁用用户配置文件图像?

我们注释了用户公共表单模板上的特定行。

这将隐藏功能,并可能阻止一些恶意用户。但它不会阻止文件被上传。为此,您需要修改ProfileTabHandler: uploadProfileImage ()方法,或编写一个小插件,使用LoadHandler钩子来识别这样的请求并阻止它们。

#4

我们没有阻止用户上传图片的插件,但我们看到一些新的滥用垃圾账户上传图片作为“黑客”。

橙汁2。x日志管理器可以作为用户登录来删除虚假的图像,但在OJS 3。X这种能力已经不复存在了,所以我们正在考虑一种方法,让日记账经理再次实现自助服务。

#5

你好,

自OJS/OMP/OPS 3.2.0以来,您可以使用配置文件设置关闭配置文件图像上传。看到的:需要帮助的黑客问题在OJS - #4由asmecher

问候,
亚历克Smecher
188bet手机网公众知识项目组

#6

你好所有的,@asmecher@NateWr

谢谢你的回复。
我安装了controlPublicFiles插件。它可以在插件库中找到。

设置public_user_dir_size = 0会阻止管理员和编辑团队上传文件吗?

我们认为这不是黑客入侵的情况。然而,我们越来越担心在处理敏感内容时可能采取的法律行动。针对公共机构举办不应公开的活动的法律诉讼正在增加。不幸的是,滥用是网络最常见的问题。

# 7

@ramon

服务提供商被起诉却没有机会先删除违规图片的可能性似乎不大,但如果你想完全避免潜在的责任,我建议禁用这一功能。

问候,
亚历克Smecher
188bet手机网公众知识项目组

#8

设置public_user_dir_size = 0会阻止管理员和编辑团队上传文件吗?

是的,它也不会对公众用户头像产生任何影响。(见我的下一篇文章)controlPublicFilespublic只处理通过TinyMCE编辑器上传的文件。

下面的代码放入一个插件应该阻止上传请求的用户的公共档案形象:

$component::register('LoadComponentHandler', function($hookName, $args) {$component = $args[0];op = args美元[1];If ($component === 'tab.user. name ', '用户名');$op === 'uploadProfileImage') {Application::get()->getRequest()->getDispatcher()->handle404();} });
停止滥发电邮的建议
#9

对不起,我误解了这个问题public_user_dir_size.设置,0也应该阻止公开头像的上传。不过,它将影响所有公共图像,包括管理员或编辑可以通过TinyMCE上传的图像。