<blockquote class="gmail_quote" style="margin-top:0px;margin-right:0px;margin-bottom:0px;margin-left:0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">В Политбюро, как известно, <b>не </b>дураки <b>не </b>сидят, поэтому...</blockquote>
<div>Это баг или фича? ;)  </div><br><div class="gmail_quote">31 марта 2012 г. 19:03 пользователь Igor Sysoev <span dir="ltr"><<a href="mailto:igor@sysoev.ru">igor@sysoev.ru</a>></span> написал:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5">On Sat, Mar 31, 2012 at 01:43:25PM +0400, Михаил Монашёв wrote:<br>
> Здравствуйте.<br>
><br>
> Есть  проблема  с  непониманием  юзерами  происходящего.  Если  кто-то<br>
> вставляет  на  сайт картинку с внешнего сайта, а вебсервер этого сайта<br>
> вдруг  начинает  вместо  картинки  выдавать  запрос  на  ввод логина и<br>
> пароля,  то  юзеры  вбивают  туда  свою  логины и пароли, отправляя их<br>
> нехорошим юзерам.<br>
><br>
> Проблема решается через<br>
> <a href="http://nginx.org/ru/docs/http/ngx_http_image_filter_module.html" target="_blank">http://nginx.org/ru/docs/http/ngx_http_image_filter_module.html</a> ,<br>
> когда  все  картинки,  вместо отдачи напрямую, проксируются с внешнего<br>
> сервера  и  проверяются,  что они картинки, а не запрос на авторизацию<br>
> или вирусня какая.<br>
><br>
> Но  возникает  другая  проблема.  Хакер  может  передавать нам урл, по<br>
> которому пойдёт вебсервер за картинкой. Это чревато следующим:<br>
><br>
> 1) полученная  картинка  может  быть  огромной  и  libgd  не сможет её<br>
> переварить;<br>
><br>
> 2)  url  может  вести  в  нашу  внутреннюю  подсеть и слать туда левые<br>
> запросы не хотелось бы.<br>
><br>
> 3)  nginx начинает использоваться, как досилка на хорошем канале. Ведь<br>
> достаточно  в запрашиваемом урле менять один символ и nginx полезет по<br>
> этому  урлу.  Сценарий  такой.  Вставляется  много  картинок с разными<br>
> урлами  на  много  страниц  и  потом  на каждую страницу пригонятся по<br>
> парочке  юзеров.  Они  все  шлют запросы к nginx-у, а тот фигачит их с<br>
> нашего  ip по жертве. Абузы от правайдеров точно будут приходить после<br>
> таких  атак.  Конечно  можно  в  firewall-е  настроить  ограничение на<br>
> количество запросов к одному ip, но всёравно неприятный момент.<br>
><br>
> Как  избежать  описанных  проблем  или  может есть иной способ решения<br>
> исходной проблемы с напрошенной авторизацией?<br>
<br>
</div></div>В Политбюро, как известно, не дураки не сидят, поэтому в Рамблере при<br>
произвольном проксировании картинок image-фильтр использовался совместно с<br>
<a href="http://nginx.org/ru/docs/http/ngx_http_secure_link_module.html" target="_blank">http://nginx.org/ru/docs/http/ngx_http_secure_link_module.html</a><br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
--<br>
Igor Sysoev<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>С уважением, Антон<br>
<br>