Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Czy zwracanie linku do pliku jest bezpieczne
markonix
post
Post #1





Grupa: Zarejestrowani
Postów: 2 707
Pomógł: 290
Dołączył: 16.12.2008
Skąd: Śląsk

Ostrzeżenie: (0%)
-----

Czy widzicie jakieś zagrożenia aby np. API zwracało bezpośredni url do pliku na dysku.
Mówię o plikach niepublicznych np. pochodzących z uploadu.

https://example.pl/upload/type/2ds8k79ikt00gapule6h.docx

Czyli zabezpieczeniem jest sama randomizacja - skoro ktoś poznał link miał do pliku dostęp, więc równie dobrze mógł do pobrać i dystrybuować poza moim portalem.
Wiem, że można zrobić metodę do pobierania za pomocą np. id pliku, z pełną autoryzacją itp. ale na serwerze jest nginx i fajnie by serwować pliki bez użycia aplikacji tylko czy niesie to jakieś zagrożenia.
Np. sprawdziłem jak FB to robi na grupie tajnej i np.
https://lookaside.fbsbx.com/file/Instrukcja...kP8JOknG6q_Fiwg
To link, który jakiś czas działał każdemu, nawet niezalogowanym. Po jakimś czasie przestał działać. Czyli autoryzacja na ich serwerze z statycznymi zasobami jest wydzielona od autoryzacji typowo aplikacyjnej.

Ten post edytował markonix 23.10.2018, 19:13:26
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
markonix
post
Post #2





Grupa: Zarejestrowani
Postów: 2 707
Pomógł: 290
Dołączył: 16.12.2008
Skąd: Śląsk

Ostrzeżenie: (0%)
-----

Cytat(Pilsener @ 27.10.2018, 12:51:46 ) *
Najróżniejszym, sam sobie wybierasz, co chcesz używać, w zasadzie nie interesuje Ciebie technologia tylko wymagania sprzętowe, konfiguracja, dokumentacja itp.
Pierwszy z brzegu przykład:
https://github.com/chrisiaut/pictshare

Szczerze.. To nie widzę aby to narzędzie służyło w jakikolwiek sposób do zabezpieczenia plików (a ja o takowych cały czas piszę, nie o zdjęciach).
To tylko service to obsługi uploadu, downloadu i obróbki graficznej w locie. Zwraca krótki hash, który nadal jest podatny na atak słownikowy.
Go to the top of the page
+Quote Post

Posty w temacie
- markonix   Czy zwracanie linku do pliku jest bezpieczne   23.10.2018, 19:12:13
- - batman   Wszystko zależy od tego jak bardzo chcesz utrudnić...   23.10.2018, 22:37:09
- - markonix   No właśnie crawlera bym się obawiał - jest to jede...   24.10.2018, 10:26:48
- - Pyton_000   Możesz użyć https://hashids.org/php/ i ustalić jak...   24.10.2018, 11:42:21
- - markonix   Korzystam do robienia ładniejszych linków i żeby u...   24.10.2018, 13:04:27
- - Pyton_000   Zakładając że masz link http://domain.com/assets/i...   24.10.2018, 13:30:22
- - markonix   No jak już to mam: https://domain.com/assets/2ds8k...   24.10.2018, 14:24:50
- - Pilsener   CytatCzy widzicie jakieś zagrożenia - wiele, ale m...   24.10.2018, 19:51:58
|- - markonix   Cytat(Pilsener @ 24.10.2018, 20:51:58...   24.10.2018, 23:16:48
- - Pilsener   CytatJakiego typu to rozwiązania? Na jakim poziomi...   27.10.2018, 11:51:46
- - markonix   Cytat(Pilsener @ 27.10.2018, 12:51:46...   30.10.2018, 01:13:13

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 28.12.2025 - 16:56
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn