Welcome! Log In Create A New Profile

Re: image_filter и хацкеры.

Forum List Message List New Topic Print View

SaveFrom.net

April 02, 2012 01:38AM

>
> В Политбюро, как известно, *не *дураки *не *сидят, поэтому...

Это баг или фича? ;)

31 марта 2012 г. 19:03 пользователь Igor Sysoev <igor@sysoev.ru> написал:

> On Sat, Mar 31, 2012 at 01:43:25PM +0400, Михаил Монашёв wrote:
> > Здравствуйте.
> >
> > Есть проблема с непониманием юзерами происходящего. Если кто-то
> > вставляет на сайт картинку с внешнего сайта, а вебсервер этого сайта
> > вдруг начинает вместо картинки выдавать запрос на ввод логина и
> > пароля, то юзеры вбивают туда свою логины и пароли, отправляя их
> > нехорошим юзерам.
> >
> > Проблема решается через
> > http://nginx.org/ru/docs/http/ngx_http_image_filter_module.html ,
> > когда все картинки, вместо отдачи напрямую, проксируются с внешнего
> > сервера и проверяются, что они картинки, а не запрос на авторизацию
> > или вирусня какая.
> >
> > Но возникает другая проблема. Хакер может передавать нам урл, по
> > которому пойдёт вебсервер за картинкой. Это чревато следующим:
> >
> > 1) полученная картинка может быть огромной и libgd не сможет её
> > переварить;
> >
> > 2) url может вести в нашу внутреннюю подсеть и слать туда левые
> > запросы не хотелось бы.
> >
> > 3) nginx начинает использоваться, как досилка на хорошем канале. Ведь
> > достаточно в запрашиваемом урле менять один символ и nginx полезет по
> > этому урлу. Сценарий такой. Вставляется много картинок с разными
> > урлами на много страниц и потом на каждую страницу пригонятся по
> > парочке юзеров. Они все шлют запросы к nginx-у, а тот фигачит их с
> > нашего ip по жертве. Абузы от правайдеров точно будут приходить после
> > таких атак. Конечно можно в firewall-е настроить ограничение на
> > количество запросов к одному ip, но всёравно неприятный момент.
> >
> > Как избежать описанных проблем или может есть иной способ решения
> > исходной проблемы с напрошенной авторизацией?
>
> В Политбюро, как известно, не дураки не сидят, поэтому в Рамблере при
> произвольном проксировании картинок image-фильтр использовался совместно с
> http://nginx.org/ru/docs/http/ngx_http_secure_link_module.html
>
>
> --
> Igor Sysoev
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>

--
С уважением, Антон
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Reply Quote

RSS

Subject	Author	Posted
image_filter и хацкеры.	Михаил Монашёв	March 31, 2012 05:44AM
Re: image_filter и хацкеры.	Spoofing	March 31, 2012 06:12AM
Re: image_filter и хацкеры.	Gena Makhomed	March 31, 2012 06:32AM
Re: image_filter и хацкеры.	Igor Sysoev	March 31, 2012 07:04AM
Re[2]: image_filter и хацкеры.	Михаил Монашёв	March 31, 2012 11:36AM
Re: image_filter и хацкеры.	Igor Sysoev	March 31, 2012 12:42PM
Re: image_filter и хацкеры.	SaveFrom.net	April 02, 2012 01:38AM
Re: image_filter и хацкеры.	Anton Yuzhaninov	March 31, 2012 03:26PM
Re[2]: image_filter и хацкеры.	Михаил Монашёв	March 31, 2012 04:34PM
Re[3]: image_filter и хацкеры.	Михаил Монашёв	April 02, 2012 05:38AM
Re[4]: image_filter и хацкеры.	Михаил Монашёв	April 02, 2012 06:10AM
Re[5]: image_filter и хацкеры.	Михаил Монашёв	April 03, 2012 05:26AM
Re[5]: image_filter и хацкеры.	Oleksandr V. Typlyns'kyi	April 03, 2012 06:36AM
Re[6]: image_filter и хацкеры.	Михаил Монашёв	April 03, 2012 08:34AM

Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 157

Record Number of Users: 8 on April 13, 2023

Record Number of Guests: 421 on December 02, 2018