Модификация для ssl / удаление кнопки

neqste

Проверенные
Сообщения
191
Реакции
206
Баллы
11,045
Собственно проблема не нова.
Решается конечно же attachments'ами, либо проксированием

Но человеку легче нажать img ссылку, чем нажать "загрузить" файл. И это проблема.
Т.к. такой человек может загрузить файл с разных источников, в том числе что-то на подобии iplogger.ru

Если изображение загружено на источник без https, будут предупреждения в браузере.
Так же очевидна проблема с "пропаданием" контента на других сайтах, что так же очень плохо на будущее.

Если включить проксирование изображения, то все шикарно, но вот проблемка в другом, что например если пользуешься DDoS-protected сервисами (тот же банальный cloudlfare), то IP сервера будет спален таким образом. И атакующий получит айпишник для дудосов.

Если отключить проксирование изображений, то айпи сервера не палиться, но палить могут трафик на сайте, и вычислять айпишники с помощью того же iplogger.

В чем собственно проблема, и предположительные решения:

№1
Нужно сделать так, что бы не было возможности у человека нажимать кнопку IMG, а так же использовать BBCode . И заставлять в автоматическом режиме заливать файлы на сервер.

№2
На сервере запретить отдавать картинки с других серверов (с доменом отличным от нашего), либо выдавать глупую заглушку.

№3
Через фаервол + тулзы настраивать отдачу spoofed IP адресов при включенном проксировании.

№4
При нажатии на IMG либо использовании IMG BBкода, каким-то образом конвертировать изображение в attachment.

№5
При нажатии на IMG, открывать окно с заливкой файла на сервер.

№6
При нажатии или использовании {IMG} заливать файлы на доверенные ресурсы (к пример imgur)

В общем, если кто-то сталкивался с подобной проблемой - отпишитесь, опишите пожалуйста как вы ее решили, я конечно могу все супер-жестко нахичить, но я думаю это не такая прям серьезная проблема, для ее решения такими способами. Может быть даже уже велосипеды изобретены до меня.


Если кто не понял, то мне нужно в двух словах:
  • что бы браузеры не ругались на вставленные со сторонних сайтов ресурсы на форуме с SSL
  • что бы не палили IP сервер путем вставки снифферов на сайт \ в подписи \ в аватары \ в темы.
  • что бы изображения всегда были в одном месте, и не канули в небытие совместно с сервисами на которых они размещаются.
  • Что бы удобно было пользователю.

Идеальный был бы вариант полное удаление IMG кодов и кнопки с редактора, либо если даже не удаление, то варнинг или окошко о том, что этот способ отключен, и нужно заливать изображения.
 
Последнее редактирование:
Так и не придумали как проблему побороть без файервола и iptables?
Нынешняя версия движка умеет качать файлы через прокси. Ну или для более продвинутых - всякие ppp-тоннели, например openvpn.
 
Последнее редактирование:
Смотря о какой именно проблеме речь. Тут много вопросов затрагивалось.

Есть плагин, который это делает. Так себе решение.

Вот это наверно получше будет. Есть плагин, который способен на это.
Проблема по палеву ИП, если есть плагин можно линк?
 
Получилось решить данную проблему на ovh с помощью failover ip+ настройкой файервола, сам не понял как но сделал и теперь на ип который палится иплогеру грузятся картинки, но ддос по нему пустить нельзя так как порты входящие заняты. Более подробно как сделано могу заскриншотить , для гуру форума.
 
Если есть маршрутизируемый ip - залить на него можно всегда, failover служит для другой цели.
А если порты все входящие закрыты и сервер на овх, я думаю врятле будет эффект.
 
А если порты все входящие закрыты и сервер на овх, я думаю врятле будет эффект.
Блажен, кто верует (с).

При нажатии или использовании {IMG} заливать файлы на доверенные ресурсы (к пример imgur)
Это где-то видел. Возможность белый список для img. Будет славно, если кто напомнит, где этот хак лежит.
 
  • Мне нравится
Реакции: Hope
Современный облачный хостинг провайдер | Aéza
Назад
Сверху Снизу