![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 2 707 Pomógł: 290 Dołączył: 16.12.2008 Skąd: Śląsk Ostrzeżenie: (0%) ![]() ![]() |
Czy widzicie jakieś zagrożenia aby np. API zwracało bezpośredni url do pliku na dysku.
Mówię o plikach niepublicznych np. pochodzących z uploadu. https://example.pl/upload/type/2ds8k79ikt00gapule6h.docx Czyli zabezpieczeniem jest sama randomizacja - skoro ktoś poznał link miał do pliku dostęp, więc równie dobrze mógł do pobrać i dystrybuować poza moim portalem. Wiem, że można zrobić metodę do pobierania za pomocą np. id pliku, z pełną autoryzacją itp. ale na serwerze jest nginx i fajnie by serwować pliki bez użycia aplikacji tylko czy niesie to jakieś zagrożenia. Np. sprawdziłem jak FB to robi na grupie tajnej i np. https://lookaside.fbsbx.com/file/Instrukcja...kP8JOknG6q_Fiwg To link, który jakiś czas działał każdemu, nawet niezalogowanym. Po jakimś czasie przestał działać. Czyli autoryzacja na ich serwerze z statycznymi zasobami jest wydzielona od autoryzacji typowo aplikacyjnej. Ten post edytował markonix 23.10.2018, 19:13:26 |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 2 707 Pomógł: 290 Dołączył: 16.12.2008 Skąd: Śląsk Ostrzeżenie: (0%) ![]() ![]() |
No jak już to mam:
https://domain.com/assets/2ds8k79ikt00gapule6h.jpg i właśnie w Twoim podejściu jedna rzecz jest troszkę słaba, gdyby to były faktycznie obrazy, powiedzmy jakaś mega duża galeria to każdy request po obrazek odpalał mi cały system, cache spoko ale dopiero przy odświeżeniu strony ale to już mało pocieszające. |
|
|
![]() ![]() |
![]() |
Aktualny czas: 8.10.2025 - 15:24 |