Welcome! Log In Create A New Profile

Advanced

Re[2]: image_filter и хацкеры.

Михаил Монашёв
March 31, 2012 11:36AM
Здравствуйте, Igor.

>> Есть проблема с непониманием юзерами происходящего. Если кто-то
>> вставляет на сайт картинку с внешнего сайта, а вебсервер этого сайта
>> вдруг начинает вместо картинки выдавать запрос на ввод логина и
>> пароля, то юзеры вбивают туда свою логины и пароли, отправляя их
>> нехорошим юзерам.
>>
>> Проблема решается через
>> http://nginx.org/ru/docs/http/ngx_http_image_filter_module.html ,
>> когда все картинки, вместо отдачи напрямую, проксируются с внешнего
>> сервера и проверяются, что они картинки, а не запрос на авторизацию
>> или вирусня какая.
>>
>> Но возникает другая проблема. Хакер может передавать нам урл, по
>> которому пойдёт вебсервер за картинкой. Это чревато следующим:
>>
>> 1) полученная картинка может быть огромной и libgd не сможет её
>> переварить;
>>
>> 2) url может вести в нашу внутреннюю подсеть и слать туда левые
>> запросы не хотелось бы.
>>
>> 3) nginx начинает использоваться, как досилка на хорошем канале. Ведь
>> достаточно в запрашиваемом урле менять один символ и nginx полезет по
>> этому урлу. Сценарий такой. Вставляется много картинок с разными
>> урлами на много страниц и потом на каждую страницу пригонятся по
>> парочке юзеров. Они все шлют запросы к nginx-у, а тот фигачит их с
>> нашего ip по жертве. Абузы от правайдеров точно будут приходить после
>> таких атак. Конечно можно в firewall-е настроить ограничение на
>> количество запросов к одному ip, но всёравно неприятный момент.
>>
>> Как избежать описанных проблем или может есть иной способ решения
>> исходной проблемы с напрошенной авторизацией?

> В Политбюро, как известно, не дураки не сидят, поэтому в Рамблере при
> произвольном проксировании картинок image-фильтр использовался совместно с
> http://nginx.org/ru/docs/http/ngx_http_secure_link_module.html

А как secure_link спасал Политбюро от первой проблемы?

P.S.
Есть подозрение, что соль для secure_link можно рассчитать. На
коротких ссылках и небольшой соли через rainbow tables, например. Или,
если соль длинная, то на графических картах или через инет-сообщества.
И тогда получится, что надо менять соль и потом для всех ссылок
пересчитывать хэш.

--
С уважением,
Михаил mailto:postmaster@softsearch.ru

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

image_filter и хацкеры.

Михаил Монашёв March 31, 2012 05:44AM

Re: image_filter и хацкеры.

Spoofing March 31, 2012 06:12AM

Re: image_filter и хацкеры.

Gena Makhomed March 31, 2012 06:32AM

Re: image_filter и хацкеры.

Igor Sysoev March 31, 2012 07:04AM

Re[2]: image_filter и хацкеры.

Михаил Монашёв March 31, 2012 11:36AM

Re: image_filter и хацкеры.

Igor Sysoev March 31, 2012 12:42PM

Re: image_filter и хацкеры.

SaveFrom.net April 02, 2012 01:38AM

Re: image_filter и хацкеры.

Anton Yuzhaninov March 31, 2012 03:26PM

Re[2]: image_filter и хацкеры.

Михаил Монашёв March 31, 2012 04:34PM

Re[3]: image_filter и хацкеры.

Михаил Монашёв April 02, 2012 05:38AM

Re[4]: image_filter и хацкеры.

Михаил Монашёв April 02, 2012 06:10AM

Re[5]: image_filter и хацкеры.

Михаил Монашёв April 03, 2012 05:26AM

Re[5]: image_filter и хацкеры.

Oleksandr V. Typlyns'kyi April 03, 2012 06:36AM

Re[6]: image_filter и хацкеры.

Михаил Монашёв April 03, 2012 08:34AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 183
Record Number of Users: 8 on April 13, 2023
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready