Модификация для ssl / удаление кнопки

[neqste]

Собственно проблема не нова.
Решается конечно же attachments'ами, либо проксированием

Но человеку легче нажать img ссылку, чем нажать "загрузить" файл. И это проблема.
Т.к. такой человек может загрузить файл с разных источников, в том числе что-то на подобии iplogger.ru

Если изображение загружено на источник без https, будут предупреждения в браузере.
Так же очевидна проблема с "пропаданием" контента на других сайтах, что так же очень плохо на будущее.

Если включить проксирование изображения, то все шикарно, но вот проблемка в другом, что например если пользуешься DDoS-protected сервисами (тот же банальный cloudlfare), то IP сервера будет спален таким образом. И атакующий получит айпишник для дудосов.

Если отключить проксирование изображений, то айпи сервера не палиться, но палить могут трафик на сайте, и вычислять айпишники с помощью того же iplogger.

В чем собственно проблема, и предположительные решения:

№1
Нужно сделать так, что бы не было возможности у человека нажимать кнопку IMG, а так же использовать BBCode . И заставлять в автоматическом режиме заливать файлы на сервер.

№2
На сервере запретить отдавать картинки с других серверов (с доменом отличным от нашего), либо выдавать глупую заглушку.

№3
Через фаервол + тулзы настраивать отдачу spoofed IP адресов при включенном проксировании.

№4
При нажатии на IMG либо использовании IMG BBкода, каким-то образом конвертировать изображение в attachment.

№5
При нажатии на IMG, открывать окно с заливкой файла на сервер.

№6
При нажатии или использовании {IMG} заливать файлы на доверенные ресурсы (к пример imgur)

В общем, если кто-то сталкивался с подобной проблемой - отпишитесь, опишите пожалуйста как вы ее решили, я конечно могу все супер-жестко нахичить, но я думаю это не такая прям серьезная проблема, для ее решения такими способами. Может быть даже уже велосипеды изобретены до меня.


Если кто не понял, то мне нужно в двух словах:

• что бы браузеры не ругались на вставленные со сторонних сайтов ресурсы на форуме с SSL
• что бы не палили IP сервер путем вставки снифферов на сайт \ в подписи \ в аватары \ в темы.
• что бы изображения всегда были в одном месте, и не канули в небытие совместно с сервисами на которых они размещаются.
  
• Что бы удобно было пользователю.

Идеальный был бы вариант полное удаление IMG кодов и кнопки с редактора, либо если даже не удаление, то варнинг или окошко о том, что этот способ отключен, и нужно заливать изображения.

 

[Smalesh]

то IP сервера будет спален таким образом. И атакующий получит айпишник для дудосов.

И что? Есть 100+1 способ спалить ip. И есть железнобетонное правило - на бекэнде фильтровать все, кроме фронтэнда.

В нашем случае, дропаем по 80/443 все, кроме

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

.

А то ведь можно и allow_url_fopen в off выставить. :crazy:

 

[neqste]

И что? Есть 100+1 способ спалить ip. И есть железнобетонное правило - на бекэнде фильтровать все, кроме фронтэнда.

В нашем случае, дропаем по 80/443 все, кроме

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

.

А то ведь можно и allow_url_fopen в off выставить. :crazy:

Эт плохой вариант^^
Все же я за поиск чего-то такого простого для того, что бы и волки сыты были, и овцы целы.
Другими словами, идеальным был бы вариант с отключением

Еще мне не понятно как действует администрация xenforo.info, когда кто-то использует не загрузить файл, а IMG ббкод.



Варнинг это хорошо, с возможно заданиями по крону для конвертации всех изображений из BBcode для attachments, но не очень привлекательно.

 

[Smalesh]

Эт плохой вариант^^

Закрыть бекэнед?

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

?

 

[neqste]

В общем проблема полностью решена.
Спасибо Smalesh за идеи и предложения.

Объясню для других ребят:
(настройки xenforo)

• Image Proxy ON
• Link Proxy ON
• Proxy Cache: 0 (бесконечный, лично мне не жалко места на диске)
• BB Codes cache: 0

А теперь самое важное.
Берем и закрываем полностью для всех всё что возможно фаерволом, и добавляем айпишники провайдера за которым находимся в список игнорируемых.
Примеры по ссылке в сообщении Smalesh присутствуют.

В результате имеем:

1. Все изображения всегда у нас на хостинге
2. Даже если пользователь будет использовать IMG BBcode, то изображение будет хранится в кеше на форуме
3. Даже если пользователь найдет лазейки как внедрить сторонние ресурсы -> мы их просто не пропустим по коннектам благодаря фаерволу.
4. Iplogger, другие "стучалки" полностью становятся неработоспособны.
5. IP сервера с включенным Image Proxy не светиться. Т.е. вообще ничего не светиться, т.к. для всех кроме провайдера раздающего контент доступ запрещен.
6. Все счастливы :D

 

[MODDERN]

Но при использовании проксирования изображений, когда она будет загружаться в кеш форума. То будет загружаться через прямой IP адрес сервера.
И когда мы закрываем все соединения кроме защитной прокси, то изображения чисто физически не смогут зайти в кеш. К примеру у нас сервер накрыт защитной прокси 11.111.11.11 картинка https://cs7053.vk.me/c7007/v7007747/351e2/y3nX0aSwfW4.jpg имеет IP - 95.213.11.21
И коннект этой картинки естественно забликируется, т.к адрес её не 11.111.11.11 а 95.213.11.21.
Всплывает вопрос: как это решить? :-)

 

[neqste]

После пары дней использования, обнаружены следующие косяки:
(примечание: бэкэнд открыт по 443 и 80 только для cloudflare)

1. Не рабочие капчи. (noCAPTCHA) и другие, из-за того, что просто нет подкючения к домену.
2. стучалки по поисковикам бинг \ гугл \ яндекс, и т.п. так же стали недоступны.
   
3. различные другие ошибки в xenforo админ CP, а так же связанные с функциональностью форума.

Вывод: разрешать доступ к бэкенду только для фронтэнда идея хорошая, но ее трудно реализовать, из-за огромного количества костылей которые появятся. (физически не возможно учесть все все все, что работает на 80 и 443 порту)

В общем я ушел копать в сторону

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

.
Буду пытаться создавать конфиги nginx для выполнения нужных мне условий.

Прошу модераторов, и админов не закрывать данную тему, т.к. вопрос очень актуален в наше время.

Если кто не понял, нужно решить 3 проблемы:

1. незашифрованные элементы (изображения) с других источников через IMG.
2. попытки "слить" через вставку изображений на форум реальный IP сервера находящегося за прокси (прим. cloudflare) для последующих атак.
3. подключение сторонних сниферов со стороны 3их лиц (пример: iplogger.ru)

 

[Smalesh]

разрешать доступ к бэкенду только для фронтэнда идея хорошая,

Хорошая, но фильтровать нужно входящий трафик(!). Т.е. к ninx разрешать трафик только с фронэнда. Или же прописывать пулы ip поисковиков и тд (можно с райпа дергнуть)

Если кто не понял, нужно решить 3 проблемы:

Три ха. Кинь в личку урл своего шайтан-форума, который спрятан за слоудом - и я тебе скажу ip сервера, при этом не буду загружать ровным счетом ни одного файла. Это я к чему - есть 100 и 1 способ узнать ip сервера и загрузка файлов - просто один из этих способов. Так что потрать энергию в более полезных направлениях.

я ушел копать в сторону

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

А что там копать собрался? Это просто http-проксирующий модуль.

 

[Exile]

но вот проблемка в другом, что например если пользуешься DDoS-protected сервисами (тот же банальный cloudlfare), то IP сервера будет спален таким образом. И атакующий получит айпишник для дудосов

Уважаемый, а вы в курсе что если пингануть direct.вашдомен.ру, то оригинальный IP сервера будет спален и без всяких извращений? Добро пожаловать в не самые документированные области CloudFlare, ага. А вот теперь зная это и имея возможность узнать оригинальный IP любого сайта под защитой клауда, подумайте, так ли плохо встроенное проксирование.

 

[neqste]

Так что потрать энергию в более полезных направлениях.

Уважаемый, а вы в курсе что если пингануть direct.вашдомен.ру, то оригинальный IP сервера будет спален и без всяких извращений?

я скину вам домен в пм, а вы мне скажете IP за cloudflare. Хорошо?

 

[Smalesh]

я скину вам домен в пм, а вы мне скажете IP за cloudflare. Хорошо?

Ок. А я в лс выдам ip )

если пингануть direct.вашдомен.ру, то оригинальный IP сервера будет спален и без всяких извращений?

От пингануя и слышу (с) анекдот Нет, штатно нет такого у cloudlfare. Либо чья-то байка, либо при миграции подтянуло ненужные записи.
Хотя да, ip может светиться в записях домена.

 

[Exile]

Нет, штатно нет такого у cloudlfare. Либо чья-то байка, либо при миграции подтянуло ненужные записи.

Да что вы говорите.

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Скидывайте любой сайт под защитой клауда в личку, не проблема.

 

[Smalesh]

Скидывайте любой сайт под защитой клауда в личку, не проблема.

Никаких проблем.
infanata.abcdteam.ovh
natahaus.abcdteam.ovh

 

[Exile]

Smalesh, а где тут у вас клауд, извиняюсь? 188.93.16.237 под питерским Селектелом.

 

[Smalesh]

Это клоуд.

 

[Exile]

Smalesh, ну не суть, ip выше. Сейчас в личку три домена скинули под клаудом - у двух ip выдало при пинге на direct.-субдомен, у третьего каким-то интересным образом было прикрыто, зато по ftp. все прекрасно выдало (кто-то им пользуется еще...).

 

[Smalesh]

ip выше.

Это не мой ip)

Сервер в OVH, селектел тут никаким боком.

А то что ip светятся - так то, пардон, исключительно ручки шаловливые.

 

[nasa]

Так и не придумали как проблему побороть без файервола и iptables?

 

[Sergey Miroshnichenko]

Так и не придумали как проблему побороть

Смотря о какой именно проблеме речь. Тут много вопросов затрагивалось.

При нажатии на IMG либо использовании IMG BBкода, каким-то образом конвертировать изображение в attachment.

Есть плагин, который это делает. Так себе решение.

Нужно сделать так, что бы не было возможности у человека нажимать кнопку IMG, а так же использовать BBCode

Вот это наверно получше будет. Есть плагин, который способен на это.

 

[sonic]

Нужно сделать так, что бы не было возможности у человека нажимать кнопку IMG, а так же использовать BBCode . И заставлять в автоматическом режиме заливать файлы на сервер.

ВВМ вам в помощь, удалите стандартный бб-код, создадите свой в настройках выставите какие группы имеют право им пользоватся