Вопрос такой: Есть изображения и файлы которые которые загружают пользователи в папку www.site.ru/files/
Нужно закрыть доступ к файловой системе, но что бы пользователь(а так же любой кто имеет на это право) могли просмотреть загруженные им файлы?
Спустя 11 минут, 3 секунды (3.04.2012 - 09:17) I++ написал(а):
Сделай как вконтате, если не знаешь ссылку, то и фотку не посмотришь. Другие костыли смысла ваять 0
Спустя 13 минут, 58 секунд (3.04.2012 - 09:31) EvgenOrel написал(а):
Спасибо
Спустя 14 минут, 33 секунды (3.04.2012 - 09:46) killer8080 написал(а):
| Цитата (I++ @ 3.04.2012 - 09:17) |
| Сделай как вконтате, если не знаешь ссылку, то и фотку не посмотришь. |
Самый не надежный, но самый не ресурсоемкий способ
Если безопасность не особо важна, то сойдет.
Спустя 17 минут, 45 секунд (3.04.2012 - 10:04) I++ написал(а):
Ну да, иначе проверять залогинился юзер или нет, если да, создаем симлинк и отдаем файлик.
Спустя 12 минут, 26 секунд (3.04.2012 - 10:16) killer8080 написал(а):
I++
Зачем такие сложности?
Если нагрузка небольшая, и секретные файлы запрашиваются редко, можно и просто скриптом отдавать файл. Если нагрузка большая, или нужно контролировать скачивание больших файлов, с поддержкой докачки, тогда X-Accel-Redirect (естественно, если на сервере Nginx, и есть доступ к конфигам)
Зачем такие сложности?
Если нагрузка небольшая, и секретные файлы запрашиваются редко, можно и просто скриптом отдавать файл. Если нагрузка большая, или нужно контролировать скачивание больших файлов, с поддержкой докачки, тогда X-Accel-Redirect (естественно, если на сервере Nginx, и есть доступ к конфигам)
Спустя 19 минут, 50 секунд (3.04.2012 - 10:36) I++ написал(а):
X-Accel-Redirect, на рядовом хостинге? 
Спустя 16 минут, 3 секунды (3.04.2012 - 10:52) killer8080 написал(а):
| Цитата (I++ @ 3.04.2012 - 10:36) |
| X-Accel-Redirect, на рядовом хостинге? |
А фиг его знает, ТС не уточнял какой хостинг. Может у него ВПС-ка?
Сейчас они по ценам уже сравнялись с шаред хостингом. Спустя 2 часа, 11 минут, 47 секунд (3.04.2012 - 13:04) Guest написал(а):
Хостинг рядовой.
Авторизацию я проверяю и даю симлинк.
только кто мешает тот же симлинк вбить в адресной сроке и посредсовтом перебора вытащить все что там есть?
Авторизацию я проверяю и даю симлинк.
только кто мешает тот же симлинк вбить в адресной сроке и посредсовтом перебора вытащить все что там есть?
Спустя 2 минуты, 52 секунды (3.04.2012 - 13:07) EvgenOrel написал(а):
Хостинг рядовой.
Авторизацию я проверяю и даю симлинк.
только кто мешает тот же симлинк вбить в адресной сроке и посредсовтом перебора вытащить все что там есть?
Авторизацию я проверяю и даю симлинк.
только кто мешает тот же симлинк вбить в адресной сроке и посредсовтом перебора вытащить все что там есть?
Спустя 42 минуты, 35 секунд (3.04.2012 - 13:49) killer8080 написал(а):
| Цитата (EvgenOrel @ 3.04.2012 - 13:07) |
| только кто мешает тот же симлинк вбить в адресной сроке и посредсовтом перебора вытащить все что там есть? |
А вот тут все зависит от реализации. Чтоб нельзя было подобрать, используй длинные случайные последовательности в урл.
Спустя 16 минут, 39 секунд (3.04.2012 - 14:06) EvgenOrel написал(а):
Это тоже есть.
Но а все-таки, есть возможность на обычном хостинге используя только php и н-р htaccess защитить от перебора или нет?
Но а все-таки, есть возможность на обычном хостинге используя только php и н-р htaccess защитить от перебора или нет?
Спустя 6 минут, 25 секунд (3.04.2012 - 14:12) killer8080 написал(а):
EvgenOrel
Ну открой калькулятор и посчитай количество комбинаций, которые нужно перебрать, если длина имени 32 символа, и используются латинский алфавит и цифры
Ну открой калькулятор и посчитай количество комбинаций, которые нужно перебрать, если длина имени 32 символа, и используются латинский алфавит и цифры
Спустя 4 минуты, 16 секунд (3.04.2012 - 14:16) EvgenOrel написал(а):
Да понимаю я это. Только вопрос другой - можно или нет? И в какой направлении хотябы копать?
Спустя 11 минут, 1 секунда (3.04.2012 - 14:28) killer8080 написал(а):
| Цитата (EvgenOrel @ 3.04.2012 - 14:16) |
| Да понимаю я это. Только вопрос другой - можно или нет? |
Вижу что не понимаешь
Допустим случайное имя генерим так
$name = md5(time().$_SERVER['REMOTE_ADDR'].getmypid()).'.tmp';
на выходи получили имя
1280c8268b2bb55d53c8555212c44ca7.tmp
Количество комбинаций равно 36 в 32 степени. Нехитрыми подсчетами, при условии что частота запросов к северу не может быть слишком большой, допустим выбрали 100 запросов в секунду, получаем время в секундах на полный брутфорс
6,3340286662973277706162286946812 e+49
Переводим эту астрономическую цифру в года
6,3340286662973277706162286946812 e+49 / 3600 / 24 / 365 = 2,0085073142749009927118939290592e+42
Ну вот теперь ответь на вопрос: можно, или нет
Спустя 34 минуты, 11 секунд (3.04.2012 - 15:02) EvgenOrel написал(а):
| Цитата (killer8080 @ 3.04.2012 - 06:46) | ||
Самый не надежный, но самый не ресурсоемкий способ Если безопасность не особо важна, то сойдет. |
А если важна?
Спустя 2 минуты, 33 секунды (3.04.2012 - 15:04) Игорь_Vasinsky написал(а):
проверять по логину из сессии.
Спустя 5 минут, 55 секунд (3.04.2012 - 15:10) killer8080 написал(а):
| Цитата (EvgenOrel @ 3.04.2012 - 15:02) |
| А если важна? |
Делаешь реврайт, и отдаешь файл скриптом, если нет возможности использовать технологию, на которую я давал ссылку выше.