


Méthodes de restriction d'accès aux actifs - Bloquer les visiteurs indésirables
Les plats clés
- La mise en œuvre du contrôle d'accès à vos actifs est cruciale pour la sécurité. La liste blanche est une approche recommandée, où un portier permet uniquement aux entités de confiance d'accéder à vos actifs. Ce portier peut être placé sur le serveur HTTP ou le code d'application, fournissant des outils pour vérifier le http_host.
- Le serveur HTTP peut gérer efficacement le contrôle d'accès sans avoir à tirer le code d'application pour chaque demande. Selon le serveur, différentes méthodes telles que mod_rewrite ou permettre / nier dans Apache, ou httprefermermodule dans nginx peuvent être utilisées. Cependant, l'évolutivité de cette approche peut être un défi s'il existe de nombreux domaines à gérer ou à des changements fréquents.
- Le contrôle d'accès au niveau du code d'application offre plus de flexibilité. Cette méthode peut également gérer les situations IFRAME, où le référence ne fournit pas d'informations sur l'état de l'IFRAME. Cependant, les méthodes de serveur HTTP et de code d'application ne sont pas infaillibles et un gardien basé sur des jetons tels que OAuth est recommandé pour une sécurité améliorée.
Lors de la création d'une application Web ou d'un site Web impressionnante, nous voulons parfois que les gens puissent intégrer des parties de notre application / site Web Web. Cela pourrait être un iframe tenant un bouton «like», une image simple qu'ils souhaitent réutiliser ou même notre application entière intégrée dans un iframe.
Mais comment contrôlons-nous qui a accès, qui est autorisé à utiliser notre bande passante et à interroger notre service?
Nous définissons le problème comme contrôler l'accès à actifs
par des actifs, nous entendons: tout ce qui peut être interrogé de notre site.
Restriction d'accès: permettez à certains, bloquez tous
En parlant du contrôle d'accès, nous entrons dans le domaine de la sécurité. Et lorsque vous parlez de sécurité, la liste blanche devrait être l'approche adoptée pour résoudre le problème. Il est plus facile de contrôler qui est autorisé à accéder à vos actifs que pour contrôler qui ne l'est pas. Il est tout simplement impossible de connaître tous les monstres de boogie d'Internet.
pour protéger nos Assets , nous embauchons un portier pour ne laisser que ceux auxquels nous avons confiance. Une fois embauché, nous lui donnons accès à une liste blanche que nous contrôlons et lui laissons faire tout le levage. Problème résolu. Mais comment le portier devrait-il soulever?
Tactiques de levage
Selon la sécurité que vous souhaitez que le gardien soit et ce que le client a demandé, différentes tactiques peuvent être utilisées.
Une approche commune utilisée consiste à vérifier l'en-tête du référence. Cette méthode a 3 grands inconvénients:
- Le référence est également défini lorsque les gens accèdent à votre site Web à l'aide d'un lien
- Le référence est envoyé à votre serveur par le client et pourrait être modifié
- Le référence peut ne pas être défini du tout
Cependant, pour les actifs statiques tels que les images, JS et CSS, ces inconvénients ne sont pas un problème. Vos actifs ne doivent être chargés que lorsque les utilisateurs visitent notre site Web directement (ou à partir d'un site de confiance). L'idée générale est de bloquer les autres les hotlinking. Le référent sera donc toujours sur votre liste blanche. Sauf si vous ne vous faites pas confiance - mais vous avez alors des problèmes plus importants.
bro, soulevez-vous même?
Selon la configuration utilisée, la requête réalisée passe par une série de portes . La configuration simple est: Client -> HTTP Server -> Code d'application
Alors, où est votre gardien? Le client est de facto non pour le contrôle d'accès car il est un morceau d'humain peu fiable. Le serveur HTTP et le code d'application en revanche sont des options utiles. Les deux nous donnent des outils solides pour vérifier le http_host.
Les serveurs HTTP savent soulever
La force de faire en sorte que votre serveur HTTP gère votre contrôle d'accès est la vitesse. Il n'est pas nécessaire de déclencher le code de demande pour chaque demande. Cela peut améliorer considérablement les performances car nous n'avons pas besoin de charger une pile / thread d'application entière (par exemple mod_php) dans la mémoire.
Selon votre serveur HTTP, différentes solutions sont disponibles.
apache
Dans Apache, il existe deux méthodes différentes. Nous pouvons utiliser mod_rewrite ou permettre / nier.
La méthode mod_rewrite:
# Turn mod_rewrite on RewriteEngine On # if it is not trusted.domain.tld block it RewriteCond %{HTTP_REFERER} !^trusted\.domain\.tld$ [NC] RewriteCond %{HTTP_REFERER} !^trusted\.tld$ [NC] RewriteRule ^ - [F]
mod_rewrite est pris en charge par la plupart des fournisseurs d'hébergement.
La méthode Autoriser / Deny:
#specify the files to guard, block all the assets <files> #block everyone Deny from all #allow trusted ones Allow from trusted.tld trusted.domain.tld </files>
tous les hôtes ne prennent pas en charge ces paramètres.
nginx
La HttprefermerModule dans Nginx nous donne le Valid_Referers vraiment cool: donc tout ce que nous devons faire est, renvoyez le code HTTP 444 lorsqu'un domaine non fixe essaie d'accéder à nos actifs:
… Code non fixe 444 CODE 444 la connexion sans envoyer de têtes…
location / { valid_referers trusted.tld trusted.domain.tld; if ($invalid_referer) { return 444; } }
Les serveurs HTTP ne pensent pas
Le gros problème ici est l'évolutivité: que se passe-t-il si nous avons 1000 domaines qui doivent pouvoir accéder à nos actifs? Et si la liste des domaines change fréquemment?
Pour chaque petit montage, nous aurions besoin de plonger dans nos fichiers de configuration - et plus vous changez manuellement, plus vous pouvez mal tourner.
Le code d'application sait quoi faire
Avoir votre contrôle d'accès au niveau de votre code d'application signifie beaucoup plus de flexibilité. On pourrait avoir son gardien en marche en un rien de temps:
<span><span><?php </span></span><span><span>//the whitelist we control </span></span><span><span>$whitelist = array( </span></span><span> <span>'trusted.tld', </span></span><span> <span>'trusted.domain.tld' </span></span><span><span>); </span></span><span> </span><span><span>//the referer </span></span><span><span>$referer = parse_url($_SERVER["HTTP_REFERER"], PHP_URL_HOST); </span></span><span> </span><span><span>//the gatekeeper </span></span><span><span>if ( !in_array($referer, $whitelist) ) </span></span><span><span>{ </span></span><span> <span>throw new GateKeeperDoesNotApprove; </span></span><span><span>}</span></span></span>
qu'en est-il de ces iframes?
Comme mentionné, le fait de compter sur le référence n'est pas toujours une bonne idée. Ce ne sont pas seulement les données de notre humain peu fiable, mais il ne nous donne pas non plus de moindre indice pour savoir si nous sommes dans un iframe ou non. Il n'y a tout simplement aucun moyen de savoir.
Nous pourrions cependant embaucher un tueur à gages pour aider notre gardien. Notre hitman sera envoyé aux humains qui semblent suspects (par exemple, ceux avec un référent non fiable). Le Hitman utilisera JS comme arme:
# Turn mod_rewrite on RewriteEngine On # if it is not trusted.domain.tld block it RewriteCond %{HTTP_REFERER} !^trusted\.domain\.tld$ [NC] RewriteCond %{HTTP_REFERER} !^trusted\.tld$ [NC] RewriteRule ^ - [F]
Malheureusement, quelqu'un qui arrive d'un domaine non fiable a le même référente que quelqu'un d'autre qui nous accède à une iframe à partir de ce domaine non fiable. Les actifs, cependant, auront le référentiel défini sur notre domaine (même dans une situation d'IFRAME) - donc l'envoi d'un hitman ici est exagéré. Le simple fait de nier l'accès est suffisant - ou vous pouvez envoyer une image de chaton aléatoire.
C'est pourquoi nous avons notre hitman, vérifiez si nous sommes dans un iframe. Si c'est le cas, nous l'avons tuer notre cible:
#specify the files to guard, block all the assets <files> #block everyone Deny from all #allow trusted ones Allow from trusted.tld trusted.domain.tld </files>
La seule chose que nous devons savoir est de demander à notre gardien d'ajouter le hitman à la charge utile envoyée au client. Facile!
location / { valid_referers trusted.tld trusted.domain.tld; if ($invalid_referer) { return 444; } }
Ce code n'est pas une preuve de production. Il sert d'exemple.
qu'en est-il de la vraie sécurité?
Les solutions fournies ici vous garderont contre la plupart des monstres de boogie. Mais les deux solutions ne sont pas des fous. Le premier utilise les données du client, le second est JavaScript qui est exécuté par le client.
La manière sécurisée consiste à utiliser un gardien basé sur des jetons. Oauth est probablement le gars que vous voulez pour le travail ici, mais c'est en dehors de la portée de cet article.
Questions fréquemment posées (FAQ) sur les méthodes de restriction d'accès aux actifs
Quelles sont les différentes méthodes de restriction d'accès aux actifs?
Les méthodes de restriction d'accès aux actifs sont des stratégies utilisées pour empêcher l'accès non autorisé aux actifs numériques. Ces méthodes incluent le blocage IP, qui consiste à bloquer l'accès à partir d'adresses IP spécifiques; Geo-Blocking, qui restreint l'accès basé sur l'emplacement géographique; et le blocage des agents utilisateur, qui empêche l'accès de navigateurs ou d'appareils spécifiques. Les autres méthodes incluent le blocage des références HTTP, qui restreint l'accès en fonction du site Web de référence et la protection des mots de passe, qui oblige les utilisateurs à saisir un mot de passe pour accéder.
Comment le blocage IP fonctionne-t-il dans la restriction d'accès aux actifs?
Le blocage IP est une méthode utilisée pour empêcher les adresses IP spécifiques d'accéder à un actif numérique. Cela se fait en ajoutant les adresses IP à une «liste noire» dans le fichier de configuration du serveur. Toutes les demandes provenant de ces adresses IP seront refusées, ce qui les empêche effectivement de l'accès à l'actif.
Quel est le but de la géo-blocage dans la restriction d'accès aux actifs?
Geo-bloging est utilisé pour restreindre l'accès aux actifs numériques en fonction de la localisation géographique. Ceci est souvent utilisé pour se conformer aux accords de licence régionale ou pour empêcher l'accès des régions connues pour les cyberattaques. Le blocage géo-bloquant fonctionne en déterminant l'emplacement de l'utilisateur en fonction de son adresse IP.
Comment le blocage de l'agent utilisateur peut-il être utilisé dans la restriction d'accès aux actifs?
Le blocage de l'agent utilisateur est une méthode utilisée pour empêcher des navigateurs ou des appareils spécifiques d'accéder à un actif numérique. Cela se fait en identifiant la chaîne d'agent utilisateur, qui est envoyée par le navigateur ou le périphérique lors de la demande au serveur. Si la chaîne d'agent utilisateur correspond à une sur la «liste noire» du serveur, la demande sera refusée.
Quel est le rôle du blocage des références HTTP dans la restriction d'accès aux actifs?
HTTP Le blocage des références est Une méthode utilisée pour restreindre l'accès en fonction du site Web de référence. Cela se fait en vérifiant l'en-tête de référence HTTP, qui contient l'URL du site Web d'où la demande provient. Si le référent se trouve sur la «liste noire» du serveur, la demande sera refusée.
Comment fonctionne la protection par mot de passe dans la restriction d'accès aux actifs?
La protection du mot de passe est une méthode utilisée pour restreindre l'accès à un Asset numérique en obligeant les utilisateurs à saisir un mot de passe. Ceci est souvent utilisé pour les actifs privés ou sensibles. Le serveur invitera l'utilisateur à un mot de passe lorsqu'il essaie d'accéder à l'actif, et seuls ceux qui entrent le mot de passe correct seront accordés à l'accès.
Les méthodes de restriction d'accès à plusieurs actifs peuvent-elles être utilisées ensemble?
Oui, les méthodes de restriction d'accès à plusieurs actifs peuvent être utilisées ensemble pour fournir un niveau de sécurité plus élevé. Par exemple, vous pouvez utiliser le blocage IP pour empêcher l'accès à partir d'adresses IP spécifiques, puis utiliser la protection des mots de passe pour restreindre davantage l'accès aux utilisateurs autorisés uniquement.
Comment puis-je implémenter des méthodes de restriction d'accès aux actifs sur mon site Web?
La mise en œuvre des méthodes de restriction d'accès aux actifs sur votre site Web implique généralement de modifier le fichier de configuration de votre serveur. Le processus exact dépendra du logiciel du serveur que vous utilisez et de la méthode de restriction spécifique que vous souhaitez implémenter.
Y a-t-il des inconvénients pour utiliser des méthodes de restriction d'accès aux actifs?
Alors que les méthodes de restriction d'accès aux actifs d'accès aux actifs Peut fournir un niveau élevé de sécurité, ils peuvent également potentiellement bloquer les utilisateurs légitimes. Par exemple, le blocage IP peut bloquer les utilisateurs qui utilisent un VPN ou un proxy, et le géo-bloquant peut bloquer les utilisateurs qui voyagent à l'étranger. Par conséquent, il est important de considérer soigneusement l'impact potentiel sur les utilisateurs avant de mettre en œuvre ces méthodes.
Quelles sont les alternatives aux méthodes de restriction d'accès aux actifs?
Les alternatives aux méthodes de restriction d'accès aux actifs incluent l'utilisation d'une livraison de contenu Réseau (CDN) pour distribuer vos actifs, à l'aide d'un pare-feu pour protéger votre serveur, ou à l'aide d'un plugin ou d'un service de sécurité qui fournit une gamme de fonctionnalités de sécurité. Ces alternatives peuvent fournir un niveau élevé de sécurité sans les inconvénients potentiels des méthodes de restriction d'accès aux actifs.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Le type PHP invite à améliorer la qualité et la lisibilité du code. 1) Conseils de type scalaire: Depuis PHP7.0, les types de données de base sont autorisés à être spécifiés dans les paramètres de fonction, tels que INT, Float, etc. 2) Invite de type de retour: Assurez la cohérence du type de valeur de retour de fonction. 3) Invite de type d'union: Depuis PHP8.0, plusieurs types peuvent être spécifiés dans les paramètres de fonction ou les valeurs de retour. 4) Invite de type nullable: permet d'inclure des valeurs nulles et de gérer les fonctions qui peuvent renvoyer les valeurs nulles.

Dans PHP, utilisez le mot-clé Clone pour créer une copie de l'objet et personnalisez le comportement de clonage via la méthode de magie du clone \ _ \ _. 1. Utilisez le mot-clé Clone pour faire une copie peu profonde, en clonant les propriétés de l'objet mais pas aux propriétés de l'objet. 2. La méthode du clone \ _ \ _ peut copier profondément les objets imbriqués pour éviter les problèmes de copie superficiels. 3. Faites attention pour éviter les références circulaires et les problèmes de performance dans le clonage et optimiser les opérations de clonage pour améliorer l'efficacité.

PHP convient aux systèmes de développement Web et de gestion de contenu, et Python convient aux scripts de science des données, d'apprentissage automatique et d'automatisation. 1.Php fonctionne bien dans la création de sites Web et d'applications rapides et évolutifs et est couramment utilisé dans CMS tel que WordPress. 2. Python a permis de manière remarquable dans les domaines de la science des données et de l'apprentissage automatique, avec des bibliothèques riches telles que Numpy et Tensorflow.

Les acteurs clés des en-têtes de cache HTTP incluent le contrôle du cache, l'ETAG et la dernière modification. 1.CACHE-Control est utilisé pour contrôler les politiques de mise en cache. Exemple: Cache-Control: Max-Age = 3600, public. 2. Etag vérifie les changements de ressources par le biais d'identifiants uniques, exemple: ETAG: "686897696A7C876B7E". 3.Last-modifié indique le dernier temps de modification de la ressource, exemple: dernier modifié: mer, 21oct201507: 28: 00gmt.

Dans PHP, Password_Hash et Password_verify Les fonctions doivent être utilisées pour implémenter le hachage de mot de passe sécurisé, et MD5 ou SHA1 ne doit pas être utilisé. 1) Password_hash génère un hachage contenant des valeurs de sel pour améliorer la sécurité. 2) Password_verify Vérifiez le mot de passe et assurez-vous la sécurité en comparant les valeurs de hachage. 3) MD5 et SHA1 sont vulnérables et manquent de valeurs de sel, et ne conviennent pas à la sécurité de mot de passe moderne.

PHP est un langage de script côté serveur utilisé pour le développement Web dynamique et les applications côté serveur. 1.Php est un langage interprété qui ne nécessite pas de compilation et convient au développement rapide. 2. Le code PHP est intégré à HTML, ce qui facilite le développement de pages Web. 3. PHP traite la logique côté serveur, génère une sortie HTML et prend en charge l'interaction utilisateur et le traitement des données. 4. PHP peut interagir avec la base de données, traiter la soumission du formulaire et exécuter les tâches côté serveur.

PHP a façonné le réseau au cours des dernières décennies et continuera de jouer un rôle important dans le développement Web. 1) PHP est originaire de 1994 et est devenu le premier choix pour les développeurs en raison de sa facilité d'utilisation et de son intégration transparente avec MySQL. 2) Ses fonctions principales incluent la génération de contenu dynamique et l'intégration à la base de données, ce qui permet au site Web d'être mis à jour en temps réel et affiché de manière personnalisée. 3) La large application et l'écosystème de PHP ont motivé son impact à long terme, mais il fait également face à des mises à jour de version et à des défis de sécurité. 4) Les améliorations des performances ces dernières années, telles que la sortie de PHP7, lui permettent de rivaliser avec les langues modernes. 5) À l'avenir, PHP doit faire face à de nouveaux défis tels que la conteneurisation et les microservices, mais sa flexibilité et sa communauté active le rendent adaptable.

Les principaux avantages du PHP comprennent la facilité d'apprentissage, un soutien solide sur le développement Web, les bibliothèques et les cadres riches, les performances élevées et l'évolutivité, la compatibilité multiplateforme et la rentabilité. 1) Facile à apprendre et à utiliser, adapté aux débutants; 2) une bonne intégration avec les serveurs Web et prend en charge plusieurs bases de données; 3) ont des cadres puissants tels que Laravel; 4) Des performances élevées peuvent être obtenues grâce à l'optimisation; 5) prendre en charge plusieurs systèmes d'exploitation; 6) Open source pour réduire les coûts de développement.


Outils d'IA chauds

Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool
Images de déshabillage gratuites

Clothoff.io
Dissolvant de vêtements AI

AI Hentai Generator
Générez AI Hentai gratuitement.

Article chaud

Outils chauds

Listes Sec
SecLists est le compagnon ultime du testeur de sécurité. Il s'agit d'une collection de différents types de listes fréquemment utilisées lors des évaluations de sécurité, le tout en un seul endroit. SecLists contribue à rendre les tests de sécurité plus efficaces et productifs en fournissant facilement toutes les listes dont un testeur de sécurité pourrait avoir besoin. Les types de listes incluent les noms d'utilisateur, les mots de passe, les URL, les charges utiles floues, les modèles de données sensibles, les shells Web, etc. Le testeur peut simplement extraire ce référentiel sur une nouvelle machine de test et il aura accès à tous les types de listes dont il a besoin.

Navigateur d'examen sécurisé
Safe Exam Browser est un environnement de navigation sécurisé permettant de passer des examens en ligne en toute sécurité. Ce logiciel transforme n'importe quel ordinateur en poste de travail sécurisé. Il contrôle l'accès à n'importe quel utilitaire et empêche les étudiants d'utiliser des ressources non autorisées.

Télécharger la version Mac de l'éditeur Atom
L'éditeur open source le plus populaire

MinGW - GNU minimaliste pour Windows
Ce projet est en cours de migration vers osdn.net/projects/mingw, vous pouvez continuer à nous suivre là-bas. MinGW : un port Windows natif de GNU Compiler Collection (GCC), des bibliothèques d'importation et des fichiers d'en-tête librement distribuables pour la création d'applications Windows natives ; inclut des extensions du runtime MSVC pour prendre en charge la fonctionnalité C99. Tous les logiciels MinGW peuvent fonctionner sur les plates-formes Windows 64 bits.

Dreamweaver CS6
Outils de développement Web visuel