image.png6,1 Мб, 1600x2402
UUID Контент /security/ 3451239 В конец треда | Веб
большие ли риски, если на сайте контент сохраняется со статическим uuid. То есть, имеем attachment который можно получить через /attachments/{uuid} независимо от прав (даже если гость). Могут ли пользователи получить остальные attachments не имея прав ранее ? так-как перебором uuid сделать подобное почти нереально
2 3451251
>>51239 (OP)
Поимеют, если например будут скомпрометированы какие нибудь логи, где засвечены эти уиды.
3 3451287
Они генерятся, так что пофиг. Главное чтоб не спалились
4 3452269
>>51239 (OP)
Как бы да, но как бы нет.
5 3463270
Опчик, так ты можешь ещё хеш картинки докидывать в id, тогда 100% безопасно
6 3463423
>>51239 (OP)
Можно. Только сначала придумай план на:

> Веб-разрабы проебались с настройками индексирования и пользовательские аттачи оказались в индексе гугла. Твои действия?


> Твою инфру поимели и слили базу uuid. Дальше выборочно качают аттачи определённых юзеров. Твои действия?


Видел и то, и то.
7 3463426
>>63423
Ещё докину что UGC лучше никогда не отдавать с основного домена сайта или субдомена. Иначе вам с первым Xss ебанут сервис-воркер на сайт и там уже можно пиздить хоть гуиды, хоть сразу контент.

Вообще вариант с гуидами вполне имеет право на жизнь, если файлы живут месяц, потом удаляются. Если нет, то сделай лучше генерируемые ссылки с ограничением времени жизни и подновляй их.
8 3463427
>>63426
Я другой анон, я вкатуджон в ойти в пхп и жс.

И у меня вопросик, что это ж дораха получается джва сервера иметь? Типа один основной сервер, а второй с контентом и гуидами?

Или ето виртуально всё? Ну типа сервер один, но виртуально на джва поделён. Один основной и второй с которого контент и гуиды?

Если я не правильно понял извините меня, просто меня при генетической лотерее ай си кью решил обойти стороной.
9 3463428

>uuid


Это вроде для жёстких дисков в /etc/fstab
10 3463430
>>63427
Самый дешёвый вариант - один сервер, два домена, разруливаются локально через nginx.

Ты можешь попробовать сэкономить на домене и вынести UGC на субдомен типа uploads.foo.ru, для которого полностью на уровне CSP заголовков отдаваемых тем же nginx запретить любое исполнение кода, сетевые запросы и зарезать айфреймы. Да и забанить запрос сервис воркера тоже на уровне заголовков. Но помни что тогда ты ходишь по краю обрыва.
11 3463434
>>63430
Спасибо большое, дай Вам Б-г здоровьица
5dc861a9048388931628d5e3082ae0a5.png768 Кб, 828x1153
12 3463557
>>51239 (OP)

>большие ли риски



Да: браузеры стучат в гугл, гугл это индексирует. И потом через поиск кто-нибудь это найдёт
Обновить тред
« /pr/В начало тредаВеб-версияНастройки
/a//b//mu//s//vg/Все доски

Скачать тред только с превьюс превью и прикрепленными файлами

Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах.Подробнее