![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 898 Pomógł: 48 Dołączył: 2.11.2005 Skąd: Poznań Ostrzeżenie: (0%) ![]() ![]() |
Witam,
pracuję nad skryptem, który ma udostępniać możliwość pobrania faktury z serwera. Skrypt będzie trochę bardziej złożony, ale dla uproszczenia załóżmy, że plik ma nazwę składającą się z 20 znaków (losowych). Klient dostaje link do swojego pliku, który znajduje się w folderze rok/miesiąc/dzień/nazwa_pliku.pdf I tu rodzi się pytanie - czy istnieje możliwość, że ktoś pobierze wszystkie pliki z danego folderu (czyli potencjalne faktury innych klientów) nie znając ich nazw - oczywiście pomijając atak typu brute-force, bo przy takiej długości nazwy trafienie w nazwę pliku wymagałoby miliardów zapytań do serwera? A może macie jakiś pomysł na bezpieczniejsze umożliwianie pobrania faktur? |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 320 Pomógł: 29 Dołączył: 3.04.2010 Ostrzeżenie: (20%) ![]() ![]() |
Wykazałem już, że nie ma sensu ukrywać inaczej tego, jeśli to ma być dostępne dla każdego, kto zna link. Jeśli potrzeba zaimplementować autoryzację, możemy stosować to samo, tylko przed tym dodać id użytkownika i jakiś unikalny dla danego użytkownika kod (aby 1/20452.pdf nie było tym samym co 2/20452.pdf) linkujący na prawidłowy dokument.
|
|
|
![]() ![]() |
![]() |
Aktualny czas: 14.10.2025 - 07:23 |