Есть сайт b2b.
Вход на него по логину\паролю только
Сейчас надо поместить ссылку на скачивание файла на страницу логина.
То есть все клиенты должны иметь возможность скачать файл не заходя на сайт.
Всё бы ничего, но теоретически сайт со страницей логина может открыть кто угодно, так как сайт интернет.
Здравствуйте, e.thrash, Вы писали:
ET>Вопрос: какие уязвимости это хранит в себе?
Странный вопрос. Те же самые, что и без ссылки. Может добавит пару новых.
ET>То есть все клиенты должны иметь возможность скачать файл не заходя на сайт.
Противоречие видишь? А не клиенты что, не должны иметь такой возможности?
Здравствуйте, wildwind, Вы писали:
W>Здравствуйте, e.thrash, Вы писали:
ET>>Вопрос: какие уязвимости это хранит в себе? W>Странный вопрос. Те же самые, что и без ссылки. Может добавит пару новых.
я не спец по безопасности совсем. Если дать права на чтение тольько данного файла анонимным юзерам, какие опасности?
ET>>То есть все клиенты должны иметь возможность скачать файл не заходя на сайт. W>Противоречие видишь? А не клиенты что, не должны иметь такой возможности?
не вижу. просто поясняю. так то хоть можно узнать кто загружал файл.
в общем какие опасности есть вообще в данном случае?
Здравствуйте, e.thrash, Вы писали:
ET>Есть сайт b2b. ET>Вход на него по логину\паролю только ET>Сейчас надо поместить ссылку на скачивание файла на страницу логина. ET>То есть все клиенты должны иметь возможность скачать файл не заходя на сайт. ET>Всё бы ничего, но теоретически сайт со страницей логина может открыть кто угодно, так как сайт интернет.
ET>Вопрос: какие уязвимости это хранит в себе?
Да никаких проблем особых я не вижу. Вот только можно программу написать, которая положит Ваш сервер бесполезным скачиванием файла.
Кодом людям нужно помогать!
Re[2]: Сделать ссылку на файл на не публичном сайте
Здравствуйте, Sharov, Вы писали:
S>Да никаких проблем особых я не вижу. Вот только можно программу написать, которая положит Ваш сервер бесполезным скачиванием файла.
Выложить на google drive и пусть себе кладут. Good luck, так сказать.
Re[3]: Сделать ссылку на файл на не публичном сайте
Здравствуйте, Слава, Вы писали:
С>Здравствуйте, Sharov, Вы писали:
S>>Да никаких проблем особых я не вижу. Вот только можно программу написать, которая положит Ваш сервер бесполезным скачиванием файла.
С>Выложить на google drive и пусть себе кладут. Good luck, так сказать.
Могут и положить, если очень захотят. Непомерный трафик Google посчитает abuse и закроет доступ. А то и аккаунт забанит.
Re[3]: Сделать ссылку на файл на не публичном сайте
Здравствуйте, e.thrash, Вы писали:
ET>Если дать права на чтение тольько данного файла анонимным юзерам, какие опасности?
Например, можно добраться до других файлов при неграмотной настройке. А -ля "..\..\..\etc\passwd".
Если раздачу файлов запретить и разрешить только скрипты, уже сложнее. В общем, увеличивается attack surface.
ET>так то хоть можно узнать кто загружал файл.
Для этого нужно авторизоваться, не так ли?
Re[4]: Сделать ссылку на файл на не публичном сайте
Здравствуйте, wildwind, Вы писали:
С>>Выложить на google drive и пусть себе кладут. Good luck, так сказать. W>Могут и положить, если очень захотят. Непомерный трафик Google посчитает abuse и закроет доступ. А то и аккаунт забанит.
На моем предыдущем месте работы гугл дал нам неограниченное пространство на гуглодрайве, уж не знаю, сколько это стоило. И, мне кажется, для гуглов это будет позором, если они не сумеют закрыть доступ ддосерам. Наконец — а кто у нас круче гугла-то? То есть, кто может надеяться выдержать траффик больше, чем у гугла? Что-то я сомневаюсь, что на подобное способна инфраструктура корпорации "Серьёзное B2B", которое спрашивает совета на кывте.
Re[5]: Сделать ссылку на файл на не публичном сайте
Здравствуйте, Слава, Вы писали:
С>На моем предыдущем месте работы гугл дал нам неограниченное пространство на гуглодрайве
При чем здесь пространство?
С>они не сумеют закрыть доступ ддосерам.
Я разве говорил, что не сумеют? Наоборот, я сказал, что сумеют и закроют. Но для того, кто выложил, это будет эффективный DoS.
Re[6]: Сделать ссылку на файл на не публичном сайте
Здравствуйте, wildwind, Вы писали:
W>Здравствуйте, Слава, Вы писали:
С>>На моем предыдущем месте работы гугл дал нам неограниченное пространство на гуглодрайве W>При чем здесь пространство?
При том, что к неограниченному пространству должен прилагаться неограниченный трафик. И вообще, с каких это пор атака является проблемой клиента?
С>>они не сумеют закрыть доступ ддосерам. W>Я разве говорил, что не сумеют? Наоборот, я сказал, что сумеют и закроют. Но для того, кто выложил, это будет эффективный DoS.
Это полная ерунда. С таким же успехом можно слать syn-шторм на те же самые адреса гугла, откуда забирали файл. И это будет такая же атака на гугл, которая нисколько не исчезнет, если отключать клиентов.
Здравствуйте, e.thrash, Вы писали:
ET>Сейчас надо поместить ссылку на скачивание файла на страницу логина. ET>Вопрос: какие уязвимости это хранит в себе?
