Как бороться с Basic Authorization?

0

1

Делаю форум, пользователи в свои сообщения имеют возможность вставлять картинки. Так вот пользователь может вставить картинку со своего фейкового сервера, откуда при запросе этой картинки его сервер будет спрашивать Basic Authorization (читай: появится окошко для логина и пароля), в которое 95% пользователей введут свои настоящие логин/пароль от форума и передадут их владельцу фейкового сервера. Как быть?

Ссылка

←	extjs4 proxy/ajax + django

Поборол ИЕ, когда в адресной строке и в ссылках (GET) кириллические буквы

→

Предварительно посылать запрос и смотреть хедер WWW-Authenticate? :)

zhuravlik ★★★★
(23.04.12 18:20:29 MSK)

сделать имаджхостинг, очевидно же, и запретить вставлять картинки с других сайтов (или например разрешить только с определенных файлообменников). В общем, в текущем варианте, как ты правильно подметил, наблюдается здоровенная дыра в секурити.

anonymous
(23.04.12 18:25:21 MSK)

Ссылка

Ответ на: комментарий от zhuravlik 23.04.12 18:20:29 MSK

Нехороший пользователь написал свой простенький сервер для сбора данных и отдачи одной картинки. И когда скрипт форума полезет проверять картинку - пользователь напишет, чтобы сервер ответил 200. А когда эту же картинку станут спрашивать браузеры посетителей форума, тогда и будет происходить запрос Basic Authorization.

Если постоянно делать проверку отображаемого пользователю файла, то это свободный ddos сервис.

Мне кажется, что иного варианта кроме как загружать все картинки и хранить локально просто не существует. Данным на других серверах доверять ни за что нельзя, в это случае. :(

~~Spoofing~~ ★★★★★
(23.04.12 18:27:31 MSK) автор топика

в рассылке nginx недавно было.

http://mailman.nginx.org/pipermail/nginx-ru/2012-April/046464.html

xpahos ★★★★★
(23.04.12 19:16:37 MSK)

Ответ на: комментарий от Spoofing 23.04.12 18:27:31 MSK

И когда скрипт форума полезет проверять картинку - пользователь напишет, чтобы сервер ответил 200. А когда эту же картинку станут спрашивать браузеры посетителей форума, тогда и будет происходить запрос Basic Authorization.

Можно ходить с реальным UA браузера.

Если постоянно делать проверку отображаемого пользователю файла, то это свободный ddos сервис.

Постоянно можно не делать, со случайным интервалом, к примеру, и убрать проверку для доверенных сервисов.

p.s.: Самый простой вариант, конечно, это разрешить изображения только из фиксированного списка ресурсов, про которые точно известно, что это хостинги картинок.

zhuravlik ★★★★
(23.04.12 19:18:42 MSK)