web-dev-qa-db-fra.com

Est-il dangereux de conserver Thumbs.db sur un serveur Web?

Windows Thumbs.db Les fichiers système qui se trouvent dans la plupart des dossiers ont été téléchargés avec tous les autres fichiers de l'hôte local sur le serveur.

Est-ce dangereux si vous oubliez de les supprimer sur le serveur?

Je suis sur l'hébergement partagé en cours d'exécution * nix et le serveur Apache.

5
Haradzieniec

Il n'y a pas de menace directe d'avoir Thumbs.db téléchargée, même si les gens pouvaient les télécharger, ils ne recevraient aucune information utile.

Cela met peut-être en évidence un problème lié à votre processus de téléchargement, c’est une des raisons pour lesquelles le FTP est un moyen inefficace de télécharger des fichiers.

7
Toby

Thumbs.db contient uniquement des informations miniatures pour les images. Ainsi, lorsque vous naviguez avec File Explorer, vous pouvez les voir rapidement. Ce n'est pas dangereux. Il peut être supprimé ou ignoré en toute sécurité.

4
mrtsherman

Je pense toujours que ce fichier peut être une menace dans certains cas.

exemple: il s'agit d'une faille de sécurité lorsque vous ne voulez pas que tout le monde connaisse la liste complète des images que vous avez dans un répertoire spécifique, le Thumbs.db compromet cette information. Il stocke des informations sur les noms de fichier, les heures de modification et des images miniatures.

3
Gedrox

Je ne dirais pas qu'ils sont dangereux. Le fichier thumbs.db est simplement un fichier généré automatiquement utilisé pour la mise en cache des vignettes.

Il est très pénible de supprimer thumbs.db car il va continuer à se régénérer et a tendance à être verrouillé. Je suggère donc d'écrire une logique pour exclure complètement les fichiers cachés.

2
James Johnson

Je ne suis pas d'accord avec les autres réponses. Dans certains cas, le risque de sécurité est faible, mais cela pourrait avoir un impact considérable. Il est similaire à autoriser la navigation dans les répertoires.

L'attaquant obtient une liste de noms de fichiers qui pourraient être très mauvais si vous pensez à une page telle que Facebook où les images sont pseudo cachées par leur nom.

S'il y avait un Thumbs.db dans ce dossier, vous obtiendrez des images de profil et des identifiants Facebook de quelques centaines d'utilisateurs: https://fbcdn-profile-a.akamaihd.net/hprofile-ak-ash3/c170.50.621.621/s160x160/.

S'il y avait un Thumbs.db dans chaque dossier, vous pouvez facilement accéder à toutes les images et à tous les identifiants Facebook de chaque utilisateur. À l'aide de l'ID, vous pouvez également interroger des noms réels pour chaque image. Ce serait fou!

Gardez également à l'esprit que Thumbs.db ne sont pas mis à jour par le serveur. Donc, il est possible que les données des images supprimées, aussi.

Je conseillerais de supprimer tous les Thumbs.db du serveur Web. Ils n’y appartiennent pas, ils n’ont aucune utilité, mais ils peuvent constituer un risque.

2
PiTheNumber

Non, ce n’est pas vraiment dangereux, car le fichier n’est utilisé que par l’explorateur Windows pour le cache de vignettes: http://en.wikipedia.org/wiki/Windows_thumbnail_cache .

Mais je vous conseillerais de ne pas laisser que des fichiers inutiles sur votre serveur et de les supprimer lorsque vous passerez en mode de production.

1
Julien Bourdon