Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re[2]: image_filter и хацкеры.

To: Igor Sysoev <nginx-ru@xxxxxxxxx>
Subject: Re[2]: image_filter и хацкеры.
From: Михаил Монашёв <postmaster@xxxxxxxxxxxxx>
Date: Sat, 31 Mar 2012 19:34:26 +0400
In-reply-to: <20120331110331.GA74005@nginx.com>
References: <445445488.20120331134325@softsearch.ru> <20120331110331.GA74005@nginx.com>

Здравствуйте, Igor.

>> Есть  проблема  с  непониманием  юзерами  происходящего.  Если  кто-то
>> вставляет  на  сайт картинку с внешнего сайта, а вебсервер этого сайта
>> вдруг  начинает  вместо  картинки  выдавать  запрос  на  ввод логина и
>> пароля,  то  юзеры  вбивают  туда  свою  логины и пароли, отправляя их
>> нехорошим юзерам.
>> 
>> Проблема решается через
>> http://nginx.org/ru/docs/http/ngx_http_image_filter_module.html ,
>> когда  все  картинки,  вместо отдачи напрямую, проксируются с внешнего
>> сервера  и  проверяются,  что они картинки, а не запрос на авторизацию
>> или вирусня какая.
>> 
>> Но  возникает  другая  проблема.  Хакер  может  передавать нам урл, по
>> которому пойдёт вебсервер за картинкой. Это чревато следующим:
>> 
>> 1) полученная  картинка  может  быть  огромной  и  libgd  не сможет её
>> переварить;
>> 
>> 2)  url  может  вести  в  нашу  внутреннюю  подсеть и слать туда левые
>> запросы не хотелось бы.
>> 
>> 3)  nginx начинает использоваться, как досилка на хорошем канале. Ведь
>> достаточно  в запрашиваемом урле менять один символ и nginx полезет по
>> этому  урлу.  Сценарий  такой.  Вставляется  много  картинок с разными
>> урлами  на  много  страниц  и  потом  на каждую страницу пригонятся по
>> парочке  юзеров.  Они  все  шлют запросы к nginx-у, а тот фигачит их с
>> нашего  ip по жертве. Абузы от правайдеров точно будут приходить после
>> таких  атак.  Конечно  можно  в  firewall-е  настроить  ограничение на
>> количество запросов к одному ip, но всёравно неприятный момент.
>> 
>> Как  избежать  описанных  проблем  или  может есть иной способ решения
>> исходной проблемы с напрошенной авторизацией?

> В Политбюро, как известно, не дураки не сидят, поэтому в Рамблере при
> произвольном проксировании картинок image-фильтр использовался совместно с
> http://nginx.org/ru/docs/http/ngx_http_secure_link_module.html

А как secure_link спасал Политбюро от первой проблемы?

P.S.
Есть  подозрение,  что  соль  для  secure_link  можно  рассчитать.  На
коротких ссылках и небольшой соли через rainbow tables, например. Или,
если соль длинная, то на графических картах или через инет-сообщества.
И  тогда  получится,  что  надо  менять  соль  и потом для всех ссылок
пересчитывать хэш.

-- 
С уважением,
 Михаил                          mailto:postmaster@xxxxxxxxxxxxx

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: image_filter и хацкеры.
  - From: Igor Sysoev

References:
- image_filter и хацкеры.
  - From: Михаил Монашёв
- Re: image_filter и хацкеры.
  - From: Igor Sysoev

Prev by Date: Re: Одновременный посмотр логов с нескольких серверов. OFFTOPIC
Next by Date: Re[2]: Одновременный посмотр логов с нескольких серверов. OFFTOPIC
Previous by thread: Re: image_filter и хацкеры.
Next by thread: Re: image_filter и хацкеры.
Index(es):
- Date
- Thread