А в чем дыра-то? Чтобы залезть в каталог Windows надо написать соответствующее правило в список HC. Чтобы это сделать, нужен доступ к компьютеру. А если он есть, то и без HC можно делать все, что вздумается!


Работает и даже приносит практическую пользу!

---

С версии RC1 1.0.0.64 добавлено управление доступом к файлам вне папки кэша через параметр ReadOnlyFromCachePath в ini-файле (по умолчанию True).

По мотивам http://handycache.ru/component/option,com_smf/Itemid,10/topic,1381.0/
В режиме Offline при запросе ссылки с относительными путями /../ HC аккуратно выдает запрошенный ресурс.
Пример: http://s1s2s3s4s5s.com/../../WhatsNew.txt получим список изменений программы HC.
Страшно подумать о /../../../../ и т.д.
Что думает по этому поводу разработчик?
Планируется ли закрыть эту особенность/баг/намеренность (см в Offline п7. http://s1s2s3s4s5s.com/../../License.txt). Совсем не хочется доверять пользователям локальной сети.
Считаю что, правило .*/\.\./ и т.п. в черном списке не выход из положения.

В следующей сборке закрою.
Что интересно, эта фишка с FF и Opera не прокатывает.

Я запрещу такие URL, приходящие извне. А полученные с помощью списка Преобразование URL останутся.

Это плохо?

Да нет, просто лишняя работа...


Как? Просвети...

Добавлено: 15 Мая 2008, 21:39:11


Такие комбинации вполне могут быть каким-нибудь параметром и в обычном URL, как и /../ собственно...

А тебе спасибо, что обратил наше внимание на проблему.
Опера и FF перед тем как отдать URL наружу просто удаляет из него /../ оставляя только /. Думаю много вреда не будет, если НС поступит также.

To mai62
DenZzz прав: синтаксис site.com/dir1/../dir2 абсолютно честный, с любым вхождением /../.
Генерировать url могут другие компьютерные программы или оборудование с http интерфейсом.
site.com/dir1/dir2/../../dir1/dir2/ или site.com/dir1/dir2/.../dir1/dir2/ нормальный url с точки зрения машины источника и машины получателя, фактически приводящий к site.com/dir1/dir2/. Убивать "/../" не надо.

Оно не является дефолтным, а как бы "искусственным".

Все гораздо серъезнее - ОНИ могут оказаться глупее администратора и сломать технику, порвать провод, сформировать такой url. Потому что ОНИ это факторы которые никто не контролирует (пытливый пользователь, вирус-сканер, оборудование с http интерфейсом, простая неисправность, пьяный электрик, экскаватор, гроза и т.д.)

---

Если подитожить, в любом случае "предупрежден - значит вооружен". А то что-то у меня складывается комплекс вины с поднятием этой темы.

andrey_irk
Согласен с тобой, за это и поблагодарил тебя.
Как мы с этим поступим? Это другой вопрос. Но важно что, решим мы это осознанно.
2All
На мой взгляд важно, чтобы по меньшей мере поведение по умолчанию было безопасным. Предлагаю вообще закрыть любой доступ к файлам вне папки кэша и в ini-файле сделать опцию, чтобы можно было вернуть как было.

Я думал перед чтением файла из кэша сделать проверку начинается ли путь к файлу строкой папки кэша. Если нет, сказать, что такого файла нет.
Оно может и так. Но безопасность должна быть обеспечена по умолчанию. Правило пользователь может выключить не осознавая последствий.