tavis nörttimaailmassa

EksisONE - artikkeleita ja ohjeita nörttimaailmasta

SVG-kuvien salliminen

SVG on kuvaformaatti, tai pakkaus, joka on kohtuullisen suosittu. Varsinkin Wikipedia käyttää säännönmukaisesti SVG-kuvia. Sillä saadaan piirroksille melkoisen pieni tiedostokoko. SVG-kuvissa on vain yksi pieni kysymysmerkki, ja se on formaatin muoto: kyseessä on XML-tiedosto. Googleta jos haluat tarkemmin tietää mitä XML tarkoittaa, mutta minulle ja tässä riittää tieto, että sitä kautta voidaan rakentaa hyökkäyksiä.

WordPress estää SVG-kuvien lataamisen. Turvallisuusliike, koska WordPress on suosionsa takia kaikenmaailman mustahattujen tähtäimessä. Se on sitten eri asia, että miksi WordPress tarvitsee edelleen herran vuonna 2019 erikoista turvallisuuspolitiikkaa formaattia vastaan, joita kaikki muut käyttävät rutiinisti. Varsinkin kun SVG-kuvien salliminen WordPressissä on melkoisen triviaalia. joten se siitä turvallisuudesta. Aidosti tuo ei tee muuta kuin vaikeuttaa käyttäjien elämää ja ne aukkopaikat, joista WordPress-asennukset on murrettu ja tullaan murtamaan, ovat aivan muualla.

Mutta vara ei venettä kaada. SVG-kuvat on siivottavat ja paikattava, englanninkielinen termi on sanitized. Koska kyseessä on hyökkäysmahdollisuus, niin ihan mitä tahansa palikkaa tai snippetiä ei kannata käyttää (jos ei ole kompetenssia tarkistaa toimivuus, minulla ei ole). Joten hoidetaan homma pluginilla.

Kuten aina kriittisten kohtien kanssa, niin plugarin valinnassa kannattaa käyttää kolmea kriteeriä:

  • pluginia päivitetään aika ajoin, mieluummin vähintään silloin kun WordPressistä tulee major-päivitys
  • sillä on paljon käyttäjiä, ja paljon tarkoittaa vähiten kymmeniä ja parhaimmillaan satoja tuhansia käyttäjiä
  • arvostelut ovat hyviä

Oma valinta osuu pluginille Safe SVG

https://wordpress.org/plugins/safe-svg/

 

Ja kuten aina – jos et tarvitse tukea SVG-kuville, niin älä asenna. WordPressissä ei pidetä turhia lisäpalikoita.