Attachments

Question

Attachments

Closed this issue 10 years ago · 10 comments

Heyho,

ich habe da etwas rumgetrickst bezüglich des Attachment-Bugs und das mit Erfolg. Der Trick ist, per RewriteRule URLs, die mit uploads/ starten abzufangen und an ein PHP-Skript zu liefern. Dieses liest dann einfach die Datei vom Dateisystem und bietet sie zum Download an.

Die Frage ist nun: siehst du Sicherheitsbedenken in dem PHP-Skript? Hier das Skript: http://pastebin.com/cr2B6S7Q

Die .htaccess-Datei muss dann folgendermaßen angepasst werden:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /

RewriteCond %{REQUEST_URI} ^/uploads
RewriteRule ^uploads/(.*)$ static.php?f=$1 [L]

RewriteCond %{REQUEST_FILENAME}       !-f
RewriteCond %{REQUEST_FILENAME}       !-d
RewriteRule ^(.*)$ http://127.0.0.1:65000/$1 [P]
</IfModule>

Also bei klappt das mit den Attachments nun. Wie sieht das bei dir aus? ;-)

Answer 1 · 2013-03-06T14:20:56.000Z

Gefällt mir irgendwie nicht, dass da jetzt noch ein PHP-Skript läuft was da rumwerkelt. Das muss doch auch irgendwie anders gehen...

Answer 2 · 2013-03-06T14:24:29.000Z

Ja, besonders schön ist das nicht. Geb ich zu^^

Das Problem ist scheinbar, dass der Webserver dafür sorgen muss, dass die Domain automatisch auf /home//gitlab/public gemappt wird. Da wir aber keine eigenen Directory-Sectons anlegen können, wird das wohl nix.

Ich sehe keine andere Möglichkeit, Dateien aus dem public-Verzeichnis auszulesen.

Außer: wir versuchen, nginx als Webserver zwischenzuschalten. Diesen könnte man ja dann selbst konfigurieren (ist jetzt mal eine Vermutung :D). Nur das sorgt dann natürlich für eine größere Systemlast, was ja auch nicht sein sollte..

Answer 3 · 2013-03-06T14:26:58.000Z

BTW: Die .htaccess-Datei ist noch fehlerhaft^^

Besser ist:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /

RewriteCond %{REQUEST_URI} ^/uploads
RewriteRule ^uploads/(.*)$ static.php?f=$1 [L]

RewriteRule ^$ http://127.0.0.1:65000 [P]

RewriteCond %{REQUEST_FILENAME}       !-f
RewriteCond %{REQUEST_FILENAME}       !-d
RewriteRule ^(.*)$ http://127.0.0.1:65000/$1 [P]
</IfModule>

Answer 4 · 2013-03-06T14:28:18.000Z

Schreib das eventuell mal so mit rein. Das Ding ist, ich nutze die Atachements im Moment nicht. Meine Not ist also auch nicht so groß,
aber für andere ist das eventuell die einzige Möglichkeit

Answer 5 · 2013-03-06T14:32:39.000Z

Okay, siehst du erstmal irgendwelche Sicherheitsrisiken? Theoretisch könnte man ja damit jede Datei im System ausgeben lassen. Ich frage dabei allerdings ab, ob man mit ../../parentdir versucht, aus dem uploads/-Verzeichnis auszubrechen..

Answer 6 · 2013-03-06T14:34:38.000Z

Du könntest versuchen zunächst erstmal den realpath herauszufinden und ihn dann zu ersetzen bzw zu prüfen ob der Stamm richtig ist. Sichwort http://php.net/real_path

Answer 7 · 2013-03-06T14:35:26.000Z

Brilliant 👍

Answer 8 · 2013-03-06T14:37:09.000Z

soweit würde ich jetzt nicht gehen :)

Answer 9 · 2013-03-06T14:52:22.000Z

Hast du die Migration mal probiert? Man kann mit GitLab übrigens auch Backups anlegen und wieder einspielen. Eventuell kann man das bei der Migrationsanleitung dazuschreiben (habs selbst aber nicht getestet..)

Answer 10 · 2014-07-29T07:10:41.000Z

Damit das Issue auch mal geschlossen werden kann: Mit Gitlab 7.1 funktionieren auch die Anhänge ;-)