Apache - pristup do adresare pouze pres skript
dan na feld.cvut.cz
dan na feld.cvut.cz
Pátek Září 7 12:02:35 CEST 2001
On Thu, Sep 06, 2001 at 03:55:05PM +0200, Michal Ludvig wrote:
> Jde o princip - aby opravnenost kontroloval nejaky skript. Mechanismus
> zjistovani muze byt vselijaky. Ten secret.php muze opravnenost pozadavku
> kontrolovat treba na zaklade nejake onetime-cookie: index.php cosi
> vygeneruje, ulozi to do databaze spolu s udajem o jaky obrazek se jedna
> a do sveho vystupu vlozi treba <IMG SRC="secret.php?cookie=aBcDeFgH">.
> secret.php pak zkontroluje, jestli takova cookie existuje, zjisti si
> obrazek, smaze zaznam a obrazek posle. Jste spokojenejsi?
vid nize
> > Ten pozadavek je principielne nemozne splnit. Uzivatel si vdycky muze
> > stahnout obrazek jako soucast stranky a pak ulozit, nebo najit v cache
> > sveho prohlizece.
>
> Je jasne, ze to nejde znemoznit, ale ztizit to stahovani "beznym"
> navstevnikum lze celkem jednoduse.
Bezpecnost proti beznym navtevnikum je na pytel. Bud mam obrazek, ktery
stoji za to ukrast a nebo za to nestoji. Autor puvodniho prispevku nic
nerikal o tom, ze to chce zabezpecit jen proti kolemjdoucimu.
Trvam na to, ze udelat to bezpecne je nemozne. HTTP a HTML na to nemaji
prostredky.
zdravim
dan
--
-----------------------------------------------------------
/ Dan Ohnesorg Dan na ohnesorg.cz \
< Jinočanská 7 252 19 Rudná u Prahy >
\ tel: +420 311 679679 +420 311 679976 fax: +420 311 679311 /
-----------------------------------------------------------
Další informace o konferenci Linux