Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Pobranie wszystkich plików z folderu bez znania ich nazw
athabus
post
Post #1





Grupa: Zarejestrowani
Postów: 898
Pomógł: 48
Dołączył: 2.11.2005
Skąd: Poznań

Ostrzeżenie: (0%)
-----

Witam,

pracuję nad skryptem, który ma udostępniać możliwość pobrania faktury z serwera. Skrypt będzie trochę bardziej złożony, ale dla uproszczenia załóżmy, że plik ma nazwę składającą się z 20 znaków (losowych). Klient dostaje link do swojego pliku, który znajduje się w folderze rok/miesiąc/dzień/nazwa_pliku.pdf

I tu rodzi się pytanie - czy istnieje możliwość, że ktoś pobierze wszystkie pliki z danego folderu (czyli potencjalne faktury innych klientów) nie znając ich nazw - oczywiście pomijając atak typu brute-force, bo przy takiej długości nazwy trafienie w nazwę pliku wymagałoby miliardów zapytań do serwera?

A może macie jakiś pomysł na bezpieczniejsze umożliwianie pobrania faktur?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
greycoffey
post
Post #2





Grupa: Zarejestrowani
Postów: 320
Pomógł: 29
Dołączył: 3.04.2010

Ostrzeżenie: (20%)
X----

Dwudziestoznakowe nazwy plików - weźmy pod uwage [A-Za-z0-9]. Są to 62 znaki, czyli łącznie 62^20, czyli ~7.044*10^35 czyli trochę dużo. Nawet gdyby serwer przyjmował 100tys. zapytań na sekundę, rocznie zostałoby sprawdzone 3 153 600 000 000 potencjalnych plików faktur - czyli potrzebaby było ~2.23*10^23 lat, aby sprawdzić wszystkie (IMG:style_emoticons/default/wink.gif)

Tak więc - NO WAI!

EDIT: Czyli serwuj plik z tym 20-znakowym kluczem, tylko przy ich ściąganiu nadaj im jakąś sensowną nazwę (IMG:style_emoticons/default/wink.gif)

Ten post edytował greycoffey 20.04.2012, 18:42:16
Go to the top of the page
+Quote Post

Posty w temacie
- athabus   Pobranie wszystkich plików z folderu bez znania ich nazw   20.04.2012, 18:18:25
- - pyro   Jak klienci żeby pobrać faktury muszą się zalogowa...   20.04.2012, 18:35:55
- - vieri_pl   Najlepiej by każdy klient w miejscu gdzie przetrzy...   20.04.2012, 18:38:53
|- - pyro   Cytat(vieri_pl @ 20.04.2012, 19:38:53...   20.04.2012, 18:44:18
- - greycoffey   Dwudziestoznakowe nazwy plików - weźmy pod uwage [...   20.04.2012, 18:40:45
- - thek   Moim zdaniem najlepiej zablokować htaccessem katal...   20.04.2012, 20:05:20
- - greycoffey   Wykazałem już, że nie ma sensu ukrywać inaczej teg...   20.04.2012, 21:35:30
|- - pyro   Cytat(greycoffey @ 20.04.2012, 22:35...   21.04.2012, 10:43:58
- - thek   Ale nie wziąłeś pod uwagę, iż nie każdy kto zna li...   20.04.2012, 23:56:12
|- - greycoffey   Cytat(thek @ 21.04.2012, 00:56:12 ) A...   21.04.2012, 12:16:42
|- - pyro   Cytat(greycoffey @ 21.04.2012, 13:16...   21.04.2012, 12:48:09
- - athabus   Dzięki za odpowiedzi. Nawet ciekawie się temat roz...   21.04.2012, 13:12:51
- - greycoffey   Tak. Możesz nawet przechowaywać faktury poniżej D...   21.04.2012, 13:18:58

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 18.10.2025 - 06:09
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn