Фотографии на сайте

ВНЕЗАПНО обнаружил, что фотографии доступны по URL без авторизации на сайте. То есть, теоретически какой-нибудь бот вполне может URL подобрать. Потом померял длину хэша: примерная вероятность наткнуться на конкретное фото - 1/*(32^33*10^6), и (скорее всего) в цифра в середине - ID конкретной сессии...
И наверняка еще у хостера защита от DOS включена...


avatar
... обнаружил, что фотографии доступны по URL без авторизации на сайте.
Вы ведь прекрасно понимаете, что такое авторизация и как она работает.
Подставьте в вашего бота любую авторизованную куку и ваш бот так же станет авторизованным.
Поэтому защита авторизацией - это защита только от честных людей. ... т.е. никакая не защита.

.... теоретически какой-нибудь бот вполне может URL подобрать.
Теоретически может конечно. Вопрос только в цене и времени.
+ Вам обязательно придётся бороться с ddos-guard + nginx limit_req_zone + ещё ********

Затраченное количество времени на подбор хеша - "шкурка выделки не стоит"
Инфо
avatar
Weisss, это - уже совсем другой масштаб события. Тоже не исключено, конечно... Инфо
avatar
sinner_ff, базы данных не так сливаются, конечно. А целиком и с Сервера. Инфо
avatar
Weisss, 10^6 комбинаций. Хотя, у большинства - 10^3, да ещё сочетания вполне "словарные", если так можно про цифры выразиться.
Но я надеюсь, что блокировка IP по выбору лимита обращений у хостера включена.
Инфо
avatar
Золотое правило - не хочешь, чтобы что-то «слилось» - не выставляй. Открытые/закрытые альбомы - не важно. Всё, что опубликовано в сети, или даже просто в «облаке» - может быть слито. Какие замки ты на это не навешивай.) Инфо
avatar
sinner_ff, альбомов открытых очень и очень много. А подобрать пароль к закрытому альбому из 6-7 цифр ну это недолго ))))) Инфо
avatar
Weisss, Люди, которые выставляют альбомы в открытый доступ, наверное, не очень  беспокоятся по поводу возможности их скачивания. Но таковых меньшинство, imho. Инфо
avatar
Зачем? Когда можно для начала ботом выкачать все открытые альбомы без перебора. А так же привязать к фото все имеющиеся данные (возраст, имя) и прям база данных получается Инфо
avatar
Зерно сомнения посажено)) Инфо