neqste
Проверенные
- Сообщения
- 190
- Реакции
- 202
- Баллы
- 5,545
Собственно проблема не нова.
Решается конечно же attachments'ами, либо проксированием
Но человеку легче нажать img ссылку, чем нажать "загрузить" файл. И это проблема.
Т.к. такой человек может загрузить файл с разных источников, в том числе что-то на подобии iplogger.ru
Если изображение загружено на источник без https, будут предупреждения в браузере.
Так же очевидна проблема с "пропаданием" контента на других сайтах, что так же очень плохо на будущее.
Если включить проксирование изображения, то все шикарно, но вот проблемка в другом, что например если пользуешься DDoS-protected сервисами (тот же банальный cloudlfare), то IP сервера будет спален таким образом. И атакующий получит айпишник для дудосов.
Если отключить проксирование изображений, то айпи сервера не палиться, но палить могут трафик на сайте, и вычислять айпишники с помощью того же iplogger.
В чем собственно проблема, и предположительные решения:
№1
Нужно сделать так, что бы не было возможности у человека нажимать кнопку IMG, а так же использовать BBCode . И заставлять в автоматическом режиме заливать файлы на сервер.
№2
На сервере запретить отдавать картинки с других серверов (с доменом отличным от нашего), либо выдавать глупую заглушку.
№3
Через фаервол + тулзы настраивать отдачу spoofed IP адресов при включенном проксировании.
№4
При нажатии на IMG либо использовании IMG BBкода, каким-то образом конвертировать изображение в attachment.
№5
При нажатии на IMG, открывать окно с заливкой файла на сервер.
№6
При нажатии или использовании {IMG} заливать файлы на доверенные ресурсы (к пример imgur)
В общем, если кто-то сталкивался с подобной проблемой - отпишитесь, опишите пожалуйста как вы ее решили, я конечно могу все супер-жестко нахичить, но я думаю это не такая прям серьезная проблема, для ее решения такими способами. Может быть даже уже велосипеды изобретены до меня.
Если кто не понял, то мне нужно в двух словах:
Идеальный был бы вариант полное удаление IMG кодов и кнопки с редактора, либо если даже не удаление, то варнинг или окошко о том, что этот способ отключен, и нужно заливать изображения.
Решается конечно же attachments'ами, либо проксированием
Но человеку легче нажать img ссылку, чем нажать "загрузить" файл. И это проблема.
Т.к. такой человек может загрузить файл с разных источников, в том числе что-то на подобии iplogger.ru
Если изображение загружено на источник без https, будут предупреждения в браузере.
Так же очевидна проблема с "пропаданием" контента на других сайтах, что так же очень плохо на будущее.
Если включить проксирование изображения, то все шикарно, но вот проблемка в другом, что например если пользуешься DDoS-protected сервисами (тот же банальный cloudlfare), то IP сервера будет спален таким образом. И атакующий получит айпишник для дудосов.
Если отключить проксирование изображений, то айпи сервера не палиться, но палить могут трафик на сайте, и вычислять айпишники с помощью того же iplogger.
В чем собственно проблема, и предположительные решения:
№1
Нужно сделать так, что бы не было возможности у человека нажимать кнопку IMG, а так же использовать BBCode . И заставлять в автоматическом режиме заливать файлы на сервер.
№2
На сервере запретить отдавать картинки с других серверов (с доменом отличным от нашего), либо выдавать глупую заглушку.
№3
Через фаервол + тулзы настраивать отдачу spoofed IP адресов при включенном проксировании.
№4
При нажатии на IMG либо использовании IMG BBкода, каким-то образом конвертировать изображение в attachment.
№5
При нажатии на IMG, открывать окно с заливкой файла на сервер.
№6
При нажатии или использовании {IMG} заливать файлы на доверенные ресурсы (к пример imgur)
В общем, если кто-то сталкивался с подобной проблемой - отпишитесь, опишите пожалуйста как вы ее решили, я конечно могу все супер-жестко нахичить, но я думаю это не такая прям серьезная проблема, для ее решения такими способами. Может быть даже уже велосипеды изобретены до меня.
Если кто не понял, то мне нужно в двух словах:
- что бы браузеры не ругались на вставленные со сторонних сайтов ресурсы на форуме с SSL
- что бы не палили IP сервер путем вставки снифферов на сайт \ в подписи \ в аватары \ в темы.
- что бы изображения всегда были в одном месте, и не канули в небытие совместно с сервисами на которых они размещаются.
- Что бы удобно было пользователю.
Идеальный был бы вариант полное удаление IMG кодов и кнопки с редактора, либо если даже не удаление, то варнинг или окошко о том, что этот способ отключен, и нужно заливать изображения.
Последнее редактирование:
