איך מאבטחים דבר שכזה, איך?? - הוסטס

dor77 · 30-01-11, 16:40

חבר'ה אני ממש מיואש..זה נראה לא הגיוני.
כאשר משתמש מעלה תמונה כלשהי, אז לתוך התיקייה images בשרת נוצרת תיקייה בשם של היוזר שלו ושם מתאחסנת התמונה, לדוגמא, אם משתמש בשם dor העלה תמונה בשם computer.png אז זהו יהיה הנתיב שלה:

http://www.example.com/images/dor/computer.png

בדף שבו אני מציג את התמונות של כל משתמש בהתאם ליוזר שלו, אני עושה לולאה שקוראת מהתיקייה של כל משתמש בהתאם ליוזר..ככה

images/$user/

עד כאן הכל טוב, הבעיה מתחילה כאשר השם משתמש הוא שם משתמש נכון והכל בסדר ואז אני מציג למשתמש את התמונות שלו, ואז הוא יכול לראות בקוד מקור שמקור התמונות הן:

http://www.example.com/images/dor/pic1.png
http://www.example.com/images/dor/pic2.png
http://www.example.com/images/dor/pic3.png
http://www.example.com/images/dor/pic4.png

ואז אם הוא יהיה אצל חבר שלו, שלא מחובר לאתר, הוא יקיש בשורת הכתובת http://www.example.com/images/dor/pic1.png
ויקבל את התמונה.
אני רוצה למנוע מצב כזה, אני רוצה שרק כאשר המשתמש מחובר, ורק כאשר הוא מנסה לגשת לתמונות ששמורות על שם היוזר שלו (שבעוגייה) התמונה תופיע לו.

מקווה שהבנתם..לי בכל אופן זה נראה די בלתי אפשרי..חשבתי על כל דרך אפשרית..

תודה!

ZeroDay · 30-01-11, 16:55

אם הבנתי אותך נכון ,
צור תמונה בעלת שם רנדומלי (אותיות+מספרים) תשתמש בHTACCESS שהכתובת תראה כך
images/dor/pic1.png
ובעצם בעמוד יהיה תנאי שאם המשתמש מחובר אז זה יציג את התמונה ואם לא אז זה לא יציג .

**IgalSt** · 30-01-11, 17:03

הפתרון הנכון במקרה הזה הוא לשמור את התמונות בנתיב שלא נגיש דרך האינטרנט ולהגיש את התמונה למשתמש בצורה בינארית רק אחרי שווידאת שהמשתמש התחבר למערכת וזיהית אותו.

Erez | TrustMedia.co.il · 30-01-11, 17:17

בעזרת htaccess תחסום גישה לתיקיית התמונות, ואת התצוגה של התמונות תבצע עם סקריפט PHP בעזרת GD שיבדוק אם זה המשתמש הנכון ואז יציג את התמונה למשתמש

dor77 · 30-01-11, 17:21

איך אני מציג את זה בבינארית?
ובעניין ה HTACCESS..יש פירוט? מעולם לא התעסקתי ב HTACCESS.

תודה רבה!

עריכה: לא מודבר רק בתמונות..זה יכול להיות גם קובץ doc או mp3..
תודה.

Erez | TrustMedia.co.il · 30-01-11, 18:05

אז כמו קודם, רק תשלח headים בקובץ שיפנו לקובץ שאתה רוצה להציג, תקרא קצת על הנושא

dor77 · 30-01-11, 18:08

קראתי טיפה על HTACCESS..אבל לא רואה איך זה יעזור לי..זה רק משנה את הכתובת..

Erez | TrustMedia.co.il · 30-01-11, 18:31

אתה יכול להגדיר שם הרשאות גישה לקבצים, שיוכלו לגשת לקבצים בתיקייה מסויימת רק מהשרת עצמו ולא מאיי פי חיצוני
htaccess משמש לממש הרבה דברים, ושינוי כתובת זה רק שימוש אחד שלו

dor77 · 30-01-11, 18:35

ציטוט:

נכתב במקור על ידי WiPi

אתה יכול להגדיר שם הרשאות גישה לקבצים, שיוכלו לגשת לקבצים בתיקייה מסויימת רק מהשרת עצמו ולא מאיי פי חיצוני
htaccess משמש לממש הרבה דברים, ושינוי כתובת זה רק שימוש אחד שלו

רק מהשרת עצמו זאת אומרת אם יקישו את הנתיב המלא של התמונה לא יצליחו לגשת אלייה?
ואיך אני עושה שבכל זאת יגשו אלייה, מי שמורשה כמובן?

תודה רבה על העזרה, מעריך זאת מאוד..

Erez | TrustMedia.co.il · 30-01-11, 19:28

אתה חוסם גישה מבחוץ כמו שאמרתי, ואז יוצר סקריפט PHP שהוא מקבל בפרמטרים שלו את הפרטים על הקובץ שאתה רוצה, ואז בודק אם יש לבנאדם הרשאה מתאימה לגשת לקובץ, אם לא- תציג שגיאה או משהו, אם כן- תשלח headerים שתואמים לקובץ שהוא אמור לראות ותטען את התוכן של הקובץ ותדפיס אותו (file_get_contents וecho אמור לעבוד לפי דעתי)

30-01-11, 16:40	# 1
dor77 חבר וותיק מיני פרופיל תאריך הצטרפות: Jan 2008 הודעות: 1,650	איך מאבטחים דבר שכזה, איך?? חבר'ה אני ממש מיואש..זה נראה לא הגיוני. כאשר משתמש מעלה תמונה כלשהי, אז לתוך התיקייה images בשרת נוצרת תיקייה בשם של היוזר שלו ושם מתאחסנת התמונה, לדוגמא, אם משתמש בשם dor העלה תמונה בשם computer.png אז זהו יהיה הנתיב שלה: http://www.example.com/images/dor/computer.png בדף שבו אני מציג את התמונות של כל משתמש בהתאם ליוזר שלו, אני עושה לולאה שקוראת מהתיקייה של כל משתמש בהתאם ליוזר..ככה images/$user/ עד כאן הכל טוב, הבעיה מתחילה כאשר השם משתמש הוא שם משתמש נכון והכל בסדר ואז אני מציג למשתמש את התמונות שלו, ואז הוא יכול לראות בקוד מקור שמקור התמונות הן: http://www.example.com/images/dor/pic1.png http://www.example.com/images/dor/pic2.png http://www.example.com/images/dor/pic3.png http://www.example.com/images/dor/pic4.png ואז אם הוא יהיה אצל חבר שלו, שלא מחובר לאתר, הוא יקיש בשורת הכתובת http://www.example.com/images/dor/pic1.png ויקבל את התמונה. אני רוצה למנוע מצב כזה, אני רוצה שרק כאשר המשתמש מחובר, ורק כאשר הוא מנסה לגשת לתמונות ששמורות על שם היוזר שלו (שבעוגייה) התמונה תופיע לו. מקווה שהבנתם..לי בכל אופן זה נראה די בלתי אפשרי..חשבתי על כל דרך אפשרית.. תודה! __________________ מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743

30-01-11, 16:55	# 2
ZeroDay חבר בקהילה מיני פרופיל תאריך הצטרפות: Jan 2011 הודעות: 93	אם הבנתי אותך נכון , צור תמונה בעלת שם רנדומלי (אותיות+מספרים) תשתמש בHTACCESS שהכתובת תראה כך images/dor/pic1.png ובעצם בעמוד יהיה תנאי שאם המשתמש מחובר אז זה יציג את התמונה ואם לא אז זה לא יציג . __________________

30-01-11, 17:03	# 3
IgalSt מנהל פורום, עסק רשום מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: המרכז גיל: 38 הודעות: 1,432	הפתרון הנכון במקרה הזה הוא לשמור את התמונות בנתיב שלא נגיש דרך האינטרנט ולהגיש את התמונה למשתמש בצורה בינארית רק אחרי שווידאת שהמשתמש התחבר למערכת וזיהית אותו. __________________ יגאל סטקלוב Igal Steklov Slides מה השעה? טרקלין דן טרמינל 1

30-01-11, 17:17	# 4
Erez \| TrustMedia.co.il עסק רשום [?] מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,854	בעזרת htaccess תחסום גישה לתיקיית התמונות, ואת התצוגה של התמונות תבצע עם סקריפט PHP בעזרת GD שיבדוק אם זה המשתמש הנכון ואז יציג את התמונה למשתמש __________________

30-01-11, 17:21	# 5
dor77 חבר וותיק מיני פרופיל תאריך הצטרפות: Jan 2008 הודעות: 1,650	איך אני מציג את זה בבינארית? ובעניין ה HTACCESS..יש פירוט? מעולם לא התעסקתי ב HTACCESS. תודה רבה! עריכה: לא מודבר רק בתמונות..זה יכול להיות גם קובץ doc או mp3.. תודה. __________________ מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743 Last edited by dor77; 30-01-11 at 17:43..


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

30-01-11, 18:05	# 6
Erez \| TrustMedia.co.il עסק רשום [?] מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,854	אז כמו קודם, רק תשלח headים בקובץ שיפנו לקובץ שאתה רוצה להציג, תקרא קצת על הנושא __________________

30-01-11, 18:08	# 7
dor77 חבר וותיק מיני פרופיל תאריך הצטרפות: Jan 2008 הודעות: 1,650	קראתי טיפה על HTACCESS..אבל לא רואה איך זה יעזור לי..זה רק משנה את הכתובת.. __________________ מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743

30-01-11, 18:31	# 8
Erez \| TrustMedia.co.il עסק רשום [?] מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,854	אתה יכול להגדיר שם הרשאות גישה לקבצים, שיוכלו לגשת לקבצים בתיקייה מסויימת רק מהשרת עצמו ולא מאיי פי חיצוני htaccess משמש לממש הרבה דברים, ושינוי כתובת זה רק שימוש אחד שלו __________________

30-01-11, 19:28	# 10
Erez \| TrustMedia.co.il עסק רשום [?] מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,854	אתה חוסם גישה מבחוץ כמו שאמרתי, ואז יוצר סקריפט PHP שהוא מקבל בפרמטרים שלו את הפרטים על הקובץ שאתה רוצה, ואז בודק אם יש לבנאדם הרשאה מתאימה לגשת לקובץ, אם לא- תציג שגיאה או משהו, אם כן- תשלח headerים שתואמים לקובץ שהוא אמור לראות ותטען את התוכן של הקובץ ותדפיס אותו (file_get_contents וecho אמור לעבוד לפי דעתי) __________________

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)