Re: image_filter и хацкеры.
SaveFrom.net
savefrom на gmail.com
Пн Апр 2 05:36:27 UTC 2012
>
> В Политбюро, как известно, *не *дураки *не *сидят, поэтому...
Это баг или фича? ;)
31 марта 2012 г. 19:03 пользователь Igor Sysoev <igor at sysoev.ru> написал:
> On Sat, Mar 31, 2012 at 01:43:25PM +0400, Михаил Монашёв wrote:
> > Здравствуйте.
> >
> > Есть проблема с непониманием юзерами происходящего. Если кто-то
> > вставляет на сайт картинку с внешнего сайта, а вебсервер этого сайта
> > вдруг начинает вместо картинки выдавать запрос на ввод логина и
> > пароля, то юзеры вбивают туда свою логины и пароли, отправляя их
> > нехорошим юзерам.
> >
> > Проблема решается через
> > http://nginx.org/ru/docs/http/ngx_http_image_filter_module.html ,
> > когда все картинки, вместо отдачи напрямую, проксируются с внешнего
> > сервера и проверяются, что они картинки, а не запрос на авторизацию
> > или вирусня какая.
> >
> > Но возникает другая проблема. Хакер может передавать нам урл, по
> > которому пойдёт вебсервер за картинкой. Это чревато следующим:
> >
> > 1) полученная картинка может быть огромной и libgd не сможет её
> > переварить;
> >
> > 2) url может вести в нашу внутреннюю подсеть и слать туда левые
> > запросы не хотелось бы.
> >
> > 3) nginx начинает использоваться, как досилка на хорошем канале. Ведь
> > достаточно в запрашиваемом урле менять один символ и nginx полезет по
> > этому урлу. Сценарий такой. Вставляется много картинок с разными
> > урлами на много страниц и потом на каждую страницу пригонятся по
> > парочке юзеров. Они все шлют запросы к nginx-у, а тот фигачит их с
> > нашего ip по жертве. Абузы от правайдеров точно будут приходить после
> > таких атак. Конечно можно в firewall-е настроить ограничение на
> > количество запросов к одному ip, но всёравно неприятный момент.
> >
> > Как избежать описанных проблем или может есть иной способ решения
> > исходной проблемы с напрошенной авторизацией?
>
> В Политбюро, как известно, не дураки не сидят, поэтому в Рамблере при
> произвольном проксировании картинок image-фильтр использовался совместно с
> http://nginx.org/ru/docs/http/ngx_http_secure_link_module.html
>
>
> --
> Igor Sysoev
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
--
С уважением, Антон
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20120402/d96ff5f2/attachment.html>
Подробная информация о списке рассылки nginx-ru