¿El elemento HTML de la ENTRADA del archivo cargado da alguna información personal?

1

Me pregunto qué información personal ingresa al archivo ( <input type="file"> ) Elemento da el sitio web.

Noté que muestra el nombre del archivo y que el sitio web parece tener acceso a él. ¿Qué pasa con la ruta del archivo? Si el archivo se encuentra en Mis documentos, podrían encontrar el nombre de usuario a través de la ruta (por ejemplo, C:\Documents and Settings\Bob\My Documents ) que muchas veces es el nombre del usuario real que utiliza el sitio web.

¿A qué información permiten la mayoría de los navegadores modernos acceder al sitio web cuando un usuario utiliza el elemento de entrada de archivo?

¿Podría usarse JavaScript de alguna manera para obtener más información?

¿Qué pasa cuando los complementos (como Flash o Java) implementan la carga de archivos?

html privacy upload Senseful
fuente
Depende un poco de la información que consideres personal ... los sombreros de papel de aluminio dirían que sí. Revisa: google.com/search?q=browser+fingerprint
Chris S
Me pregunto sobre cualquier información que reciba. Sé que obtiene el nombre del archivo y el contenido, obviamente, ¿qué otra información adicional obtiene que un navegador normalmente no obtendría sin el uso del elemento ENTRADA?
Senseful

Respuestas:

1

Hay mucha información en el solicite los envíos de su navegador web , pero el elemento de entrada de archivo solo contribuye con el nombre de archivo y el contenido del archivo. Cuando envía un archivo a través de un elemento de entrada de archivo, la parte relevante de la solicitud del navegador web se ve así. 

Content-Disposition: form-data; name="f"; filename="file.txt"
Content-Type: application/octet-stream

seguido por el contenido real del archivo. (Nota: cada elemento de formulario tiene una nombre que se especificó en la forma y una valor que el usuario ingresó o seleccionó. En la solicitud anterior, el elemento de entrada de archivo tenía el nombre f en la forma.)

Tienes razón en que la ruta del nombre del archivo puede indicar al servidor un poco sobre ti o tu computadora, como tu nombre de usuario o los nombres de las carpetas en tu computadora. Probé los navegadores web en mi computadora y noté lo siguiente:

  • Internet Explorer 7 envía la unidad completa, la ruta y el nombre de archivo del archivo. Por ejemplo, "C: \ folder \ file.txt".
  • Chrome 4.0, Opera 10.01 y Firefox 3.0 simplemente envían el nombre del archivo. Por ejemplo, "file.txt".

(Por cierto, usé el Proxomitron servidor proxy en mi propia computadora para ver las solicitudes que mis navegadores estaban enviando.)

Bavi_H
fuente
¡Wow gran información! El único otro navegador en el que estaría interesado es Safari.
Senseful
0

Puedes usar Tiburón de alambre para ver el paquete a medida que va al servidor y ver toda la información maravillosa que envía.

Esto te mostrará

  • El marco
  • El encabezado IP
  • El encabezado TCP
  • El encabezado HTTP (Todas las cookies, configuraciones, etc., que es estándar en CUALQUIER solicitud a un navegador)
  • Los FormData (codificados en formato de nombre / valor) Key=Value&Key2=Value2&Key3=Value3
  • El archivo real en un pedazo masivo justo debajo de eso
Aren B
fuente
0

Ningún navegador importante enviará nada detrás de su espalda, y todos ellos limitan severamente lo que JavaScript puede acceder. Todas las apuestas se desactivan cuando Flash y Java entran en la imagen.

Hasaan Chop
fuente