- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день!
Мне надо как-то защитить фотки одного пользователя в личном кабинете, от другого пользователя.
Тоесть, фотки лежат: /private/{уид юзера}/{timestamp}.jpg
теорпетически, можно легко написать обработчик, и качнуть все /private/{от 1 до 999}/{от год назад до текущей даты}.jpg запросив все подряд скриптом и скачав что есть.
Как бы мне их защитить от скачивания?
пока думаю выводить через php скрипт, в нем ставить проверку на залогиненого пользователя и запрашиваемой картинки, а доступ к файлам (картинкам) в папке /private/ закрыть через .htaccess
но может есть более нормальное решение?
Сделайте не timestamp, а md5(timestamp).
Сделайте не timestamp, а md5(timestamp).
и что это координально меняет?
также могут сделать перебор
А если скачивать фотки не напрямую, а через PHP-скрипт (функцией read из каталога, закрытого для HTTP), и на уровне скрипта делать проверки безопасности?
А если скачивать фотки не напрямую, а через PHP-скрипт (функцией read из каталога, закрытого для HTTP), и на уровне скрипта делать проверки безопасности?
это решение то понятное, я тоже думаю так сделать. Но может есть какой более адекватный метод?
в .htaccess например как-то связать сессиию или кукую с доступом к папке, или еще что подобное
просто если делать: <?php readfile("имя файла"); ?>
то тут грузим лишний раз php интерпретатор, а хотелось бы максимально оптимизировать процесс
и что это координально меняет?
также могут сделать перебор
Задолбаешься делать перебор md5 по 1000 юзерам. Это, мягко говоря, "чуть сложнее", чем перебрать временные метки.
перенаправляйте через htaccess всех на скрипт, который будет проверять безопасность, а потом уже отдавать картинку. так чаще всего решают вопрос с закрытым контентом.
фотки одного пользователя в личном кабинете
Вы забыли уточнить, с какой целью там лежат эти фотки.
В .htaccess можно проверить наличие куки, но вот сложный алгоритм типа хеша, насколько мне известно, не проверить.
Еще один вариант, как предложили, сделать уникальные имена файлов, который будет невозможно брутфорсить, вроде 128-битных случайных чисел.
Если есть контроль над конфигурацией сервера или хотя бы виртуального хоста, то может помочь RewriteMap.
Вот, посмотрите, может быть как-то поможет https://habr.com/post/151795/
Alfinnov, Сделйте через РНР скрипт и не мучайтесь. Нет там никаких супер затрат. Скриптом сможете всё что угодно проверить.