![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 898 Pomógł: 48 Dołączył: 2.11.2005 Skąd: Poznań Ostrzeżenie: (0%) ![]() ![]() |
Witam,
pracuję nad skryptem, który ma udostępniać możliwość pobrania faktury z serwera. Skrypt będzie trochę bardziej złożony, ale dla uproszczenia załóżmy, że plik ma nazwę składającą się z 20 znaków (losowych). Klient dostaje link do swojego pliku, który znajduje się w folderze rok/miesiąc/dzień/nazwa_pliku.pdf I tu rodzi się pytanie - czy istnieje możliwość, że ktoś pobierze wszystkie pliki z danego folderu (czyli potencjalne faktury innych klientów) nie znając ich nazw - oczywiście pomijając atak typu brute-force, bo przy takiej długości nazwy trafienie w nazwę pliku wymagałoby miliardów zapytań do serwera? A może macie jakiś pomysł na bezpieczniejsze umożliwianie pobrania faktur? |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 320 Pomógł: 29 Dołączył: 3.04.2010 Ostrzeżenie: (20%) ![]() ![]() |
Dwudziestoznakowe nazwy plików - weźmy pod uwage [A-Za-z0-9]. Są to 62 znaki, czyli łącznie 62^20, czyli ~7.044*10^35 czyli trochę dużo. Nawet gdyby serwer przyjmował 100tys. zapytań na sekundę, rocznie zostałoby sprawdzone 3 153 600 000 000 potencjalnych plików faktur - czyli potrzebaby było ~2.23*10^23 lat, aby sprawdzić wszystkie (IMG:style_emoticons/default/wink.gif)
Tak więc - NO WAI! EDIT: Czyli serwuj plik z tym 20-znakowym kluczem, tylko przy ich ściąganiu nadaj im jakąś sensowną nazwę (IMG:style_emoticons/default/wink.gif) Ten post edytował greycoffey 20.04.2012, 18:42:16 |
|
|
![]() ![]() |
![]() |
Aktualny czas: 16.10.2025 - 05:30 |