ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: image_filter и хацкеры.


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: image_filter и хацкеры.
  • From: "SaveFrom.net" <savefrom@xxxxxxxxx>
  • Date: Mon, 2 Apr 2012 13:36:27 +0800
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type; bh=Q3+c5I5uJyuest0hDW9hlF7HupjC55gViX8lYBAZ0Hk=; b=zMqb4w9vDotziZRkqrm9K6LqgjLqkYRTfK1XJgFn53nZoteoXt/AjwCFieIgG/2f+E CqT3EwXm4vLDymWdngLYQU1TaIdwBnoTK2HsfdkPmwljnsvxPisiGFitwWzQ+8rDB4n7 pT9XiTpWKAa3TFP/jfOi0PD3KJFXX7ebfbWM2exq/cFaalKh+DbeqxdP54QDCxbk9M3C 8uMNeuWUvTPXP94HJ79MJH+Ha4k5gMOxUGbuwGAVpUgwdqzc2HzvMhAdBkrH/Flv/G82 7O/00sZOwGxnk4734jacfD4mUMsZ1xArLT8W7K+U7aLrWc9EwIoCCy67ILm5gxOb7vMn kdyw==
  • In-reply-to: <20120331110331.GA74005@nginx.com>
  • References: <445445488.20120331134325@softsearch.ru> <20120331110331.GA74005@nginx.com>

В Политбюро, как известно, не дураки не сидят, поэтому...
Это баг или фича? ;)  

31 марта 2012 г. 19:03 пользователь Igor Sysoev <igor@xxxxxxxxx> написал:
On Sat, Mar 31, 2012 at 01:43:25PM +0400, Михаил Монашёв wrote:
> Здравствуйте.
>
> Есть  проблема  с  непониманием  юзерами  происходящего.  Если  кто-то
> вставляет  на  сайт картинку с внешнего сайта, а вебсервер этого сайта
> вдруг  начинает  вместо  картинки  выдавать  запрос  на  ввод логина и
> пароля,  то  юзеры  вбивают  туда  свою  логины и пароли, отправляя их
> нехорошим юзерам.
>
> Проблема решается через
> http://nginx.org/ru/docs/http/ngx_http_image_filter_module.html ,
> когда  все  картинки,  вместо отдачи напрямую, проксируются с внешнего
> сервера  и  проверяются,  что они картинки, а не запрос на авторизацию
> или вирусня какая.
>
> Но  возникает  другая  проблема.  Хакер  может  передавать нам урл, по
> которому пойдёт вебсервер за картинкой. Это чревато следующим:
>
> 1) полученная  картинка  может  быть  огромной  и  libgd  не сможет её
> переварить;
>
> 2)  url  может  вести  в  нашу  внутреннюю  подсеть и слать туда левые
> запросы не хотелось бы.
>
> 3)  nginx начинает использоваться, как досилка на хорошем канале. Ведь
> достаточно  в запрашиваемом урле менять один символ и nginx полезет по
> этому  урлу.  Сценарий  такой.  Вставляется  много  картинок с разными
> урлами  на  много  страниц  и  потом  на каждую страницу пригонятся по
> парочке  юзеров.  Они  все  шлют запросы к nginx-у, а тот фигачит их с
> нашего  ip по жертве. Абузы от правайдеров точно будут приходить после
> таких  атак.  Конечно  можно  в  firewall-е  настроить  ограничение на
> количество запросов к одному ip, но всёравно неприятный момент.
>
> Как  избежать  описанных  проблем  или  может есть иной способ решения
> исходной проблемы с напрошенной авторизацией?

В Политбюро, как известно, не дураки не сидят, поэтому в Рамблере при
произвольном проксировании картинок image-фильтр использовался совместно с
http://nginx.org/ru/docs/http/ngx_http_secure_link_module.html


--
Igor Sysoev

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru



--
С уважением, Антон

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.