skrypt zabezieczajacy przed Basic Auth Opcje

[alex011251]

Nie wiem jak to ugryzc. Gdy ktos wstawi zdjecie na moja strone ale jest zablokowane na serwie u kogos to bede mial okienko.

Przefiltruje czy zdjecie jest blokowane czy nie. Jezeli nieblokowane dodaj.
Ale co gdy ktos doda normalne zdjecie po czym zablokuje pozniej?



Chodzi mi o blokade przed komunikatem Basic Auth z zewnetrznego serwera ;]

Jeden z pierwszych postow na ktore nikt nie potrafi odpowiedziec (IMG:style_emoticons/default/smile.gif)

Ten post edytował alex011251 21.05.2013, 16:10:49

[alegorn]

bo jest trudno je zrozumieć, popracuj nad tym.

to o czym piszesz, <przy założeniu że dobrze zrozumiałem> jest kłopotliwe
o ile pamiętam, najlepszym rozwiązaniem, jest pobranie tej grafiki do siebie, zapis na dysk i zmiana adresu wskazania.

w przeciwnym razie, nie jesteś wstanie zapanować nad tym co znajduje się pod podanym adresem.
co prawda możesz sprawdzić czy plik istnieje na zdalnym serwerze - ale w czym problem, by zdjęcie np.: stokrotki zmieniło treść z florystycznej na pornograficzną ?
nadal będzie to ten sam adres, a jak inny przekaz. (a nie jest to jeszcze najgorsze co może cię tu spotkać)

zasada ograniczonego zaufania - jest najlepszą zasadą.

[alex011251]

Wlasnie jakis czas temu trafilem na taki problem iz na allegro ktos zmnienil dostep do grafiki na prywatny i byl monit o haslo wpadlem na to ze to niebezpieczne. Dlaczego?
Juz tlumacze . Na swoim serwerze dedykowanym edytowalem basic auth na:
zbieranie logow jakie haslo bylo wpisane
Zmienilem Auth name na "wprowadz ponownie haslo by zobaczyc ponowna tresc"

Wstawilem grafike zabezpieczona na forum gdzie mozna wstawiac grafiki i:

20osob wpisalo haslo. Tylko u mnie to wyglodalo tak zedawalo moint ze ktos wpisal haslo ale nie zapisywalo. Bo po co mi czyjes dane.

Ale co za tym idzie sam moge stac sie tego typu ofiara jak i wiekszosc serwisow. Nawet nasze php.pl

Dlatego chce sie przed tym zabezpieczyc.
Myslalem by robic tak ze skrypt za kazdym po odswiezeniu sprawdza czy grafika jest zabezpieczona czy nie. Tylko czy samo zapytanie o sprawdzenie nie spowoduje wyswietlenia basic auth. W koncu to nie java script lecz komunikat przegladarek.

Ten post edytował alex011251 23.05.2013, 12:26:23

[alegorn]

no napisalem - nie pozwalasz na pobieranie tresci z zewn. serwerow i juz.
ewent - kopiujesz je do siebie i takie wlasnie wyswietlasz.....

jesli chcesz sie bawic to
get_headers - to wyeliminuje monit.

ale to naprawde nic nie da, wyeliminuje zaledwie pewna czesc atakow.

[alex011251]

Dzieki wielkie (IMG:style_emoticons/default/smile.gif) ) Zobacze co da sie z tym zrobic.
W koncu ktos dal jakas konkretna odpowiedz.


http://ha.ckers.org/blog/20070608/cross-do...ishing-tactics/

[PHP] pobierz, plaintext 
<?php
$external_link = 'http://ks3291483.kimsufi.com/allegro/szablon2/images/banner2.jpg';
if (@GetImageSize($external_link)) {
    echo '<img src="'.$external_link.'" />';
} else {
    echo "nic tam nie ma :(";
}
?>
 
[PHP] pobierz, plaintext 

a nie wystarczy takie cos? jak najbardziej dziala. I jezeli link istnieje to wyswietla. Jezeli jest zablokowany to nie wyswietla

Ten post edytował alex011251 23.05.2013, 16:39:09

[alegorn]

sprawdziles co zwraca get_headers?
poza tym, staraj sie nie uzywac @

bo tutaj ukrywa cos takiego:

If accessing the filename image is impossible getimagesize() will generate an error of level E_WARNING. On read error, getimagesize() will generate an error of level E_NOTICE.

abstrachujac od powyzszego, wydaje mi sie ze get_headers bedzie szybsze.

j.