[php] cache

[Mar]

Witam,

Mam takie pytanie jak zabezpieczyć foldery na serwerze z plikami cache, przecież jak ktoś natrafi na taki folder bez problemu wyciągnie wszystkie dane.. myślałem o kodowaniu.. ale to chyba się mija z celem... przecież po to stosuje się cache by ograniczać obciążenie serwera... a stosują kodowanie dodatkowo obciążamy go dodatkowymi operacjami.... czy się mylę?

Wiem, podstawa to stosowanie nietypowych nazw.. typu cache itp.. co jeszcze? Jakieś regułki w .htaccess?

Spotkałem się też... z stosowanie pustego pliku index.php... jak Wy zabezpieczacie takie foldery?

Mar.

[Mion]

Ja nie widzę zbytnio wcale potrzeby ochrony plikow cache bo są to statyczne [powinny byc] pliki wygenerowane z kosztownej operacji PHP. Jeśli już musisz to wystarczy standardowa kontrola dostępu mechanizmem typu http auth user..

[Mar]

No niby tak, ale patrze na to z perspektywy osoby, która by chciała w łatwy sposób pobrać zawartość naszego serwisu, czyli taka osoba natrafia na takie dane... wtedy wystarczy prosty skrypt z pętlą... i już ma całą zawartość naszego serwisu... co dodatkowo zwiększa zagrożenie jeśli w takim folderu magazynujemy jedynie same dane...

Mar.

[Mion]

Ale o czym ty piszesz Jaki skrypt z pętlą ?

Jak go ma tam zamieścić według ciebie ?

Skąd ma wiedzieć jaka jest nazwa katalogu, etc, etc

Proponuję - przemyśl to jeszcze raz

[Mar]

Będzie zgadywać..?

Powiedzmy że mamy folder https://www.adres.pl/cache

Jakimś przypadkiem, albo za pomocą skryptu trafia tam, i co widzi, listę plików np.

1.dat
2.dat
[...]
1000.dat

... albo coś innego jakaś nazwa, ale w pewnym ciągu... który pewnie da się rozszyfrować..., a co do skryptu, to był by bardzo prosty, pobierał by dane za pomocą curl lub file_get_contents, czy nie było by to możliwe?

Mar.

[General_Depet]

Mar -> spróbuj md5

[Mion]

Mar -> sorry, ale tym razem piszesz zwykłe bzdury na zasadzie jakieś zgaduj zgaduli co ci ślina na język przyniesie tak jak być z PHP miał styczność od wczoraj -> Tak to wygala Panie Kolego

Poza tym widać, ze w ogóle nie zrozumiałeś idei cachowania treści! Nie cechuje się pliki/skrypty które są dalej wykonywane, ale przeważane cechuje się wynik działania danego kodu PHP którego wykonanie jest bardzo drogie, a nie musi być wykonywane za każdym żądaniem HTTP HTML do zwykłego kodu HTML. Taki plik następnie includuje/wstawia się do danej części wynikowej strony HTML...

Zastosowanie szyfrowania/deszyfrowania takiego pliku było by niczym wyjście z deszczu pod rynnę

[Mar]

@Mion, może masz rację... może piszę głupoty, ale podstawy php znam i wiem po co stosuje się cache, które również wykorzystuje się w celu ograniczenia zapytań do bazy MySQL w przypadku częstego pobierania tych samych danych.

Ale moja znajomość PHP jest na tyle, że śmiem twierdzić, że to co napisałem jest możliwe, a to dlatego, że często takie dane nawet można znaleźć w Google.. czasem jakiś mały błąd może spowodować, że takie dane się za indeksują... albo ktoś przypadkiem ktoś na nie trafi.. stąd mój temat... może trochę przesadzam... może rzeczywiście proste sposoby typu zabezpieczenie plikiem index.php czy też .htaccess wystraszy... ale czy no follow wystarcza... itp. o to pytam.

Może jest coś o czym nie wiem...

@General_Depet, tak wiem, ale to jest tak jak pisze Mion, zaprzeczenie stosowania cache.

Mar.

[stat4seo]

@Mar, ale nikt nie karze Ci nazywać plików cache, w taki sposób aby można je było łatwo odczytać w pętli.

Możesz nazwy plików kodować np. md5.

Możesz również wrzucać je do podfolderów (co jest nawet wskazane przy dużej ilości plików).

Poza tym, parsowanie strony (wycinanie wszystkich linków) i pobieranie treści przez cURL, bądź pętla wg. index.php?page_id=xx jest równie prosta do wykonania jak próba czytania z cache.

[Mar]

@mela i o to pytam..

Tak stosuję już podfoldery z podziałem na ilość plików (max. 1000 w jednym), jak również nie stosuję typowych nazw.

Czyli uważacie, że zabronienie indeksowania + pusty plik index.php w zupełności wystarcza?

@Mion, o to cały czas pytam?

Mar.

[Bełdzio]

druga część => https://www.beldzio.com/bezpieczenstwo-dostepu-do-plikow

[pc3t]

Nie wystarczy wsadzić w katalog plik .htaccess

Deny from All

Wtedy żadne inne zabezpieczenia nie są potrzebne.

[slawek22]

Tak stosuję już podfoldery z podziałem na ilość plików (max. 1000 w jednym), jak również nie stosuję typowych nazw.

Na ext3 z jądrem 2.6 wystarczy podzielić na 50-100k.

ar -> sorry, ale tym razem piszesz zwykłe bzdury na zasadzie jakieś zgaduj zgaduli co ci ślina na język przyniesie tak jak być z PHP miał styczność od wczoraj -> Tak to wygala Panie Kolego

Wystarczy, że w takim ogólnie dostępnym cache znajdą się rekordy z tabeli user i katastrofa gotowa.

A jak trafić na taki "ukryty" katalog? Wystarczy transparent proxy gdzieś po drodze albo referer i może się zdarzyć, że nawet google zaindeksuje.

Takie coś się powinno trzymać w katalogu niedostępnym z poziomu WWW, lub właśnie deny from all w .htaccess.

[Mion]

Wystarczy, że w takim ogólnie dostępnym cache znajdą się rekordy z tabeli user

A to ciekawe - cache i dane z tabel jako dane a to to jest jeszcze lepsze "ogólnie dostępnym cache"

[noone]

Mion, jak rozumiem, ma na myśli to, że cacheuje się zazwyczaj gotową do wyświetlenia treść, więc ukrywanie lub zabezpieczanie jej mija się z celem.