使用 HTTPS, URL 随机字符串生成, 服务器不设 IP 限制, 这样的资源可能被获取到吗?

2020-03-31 09:23:09 +08:00
 raymanr

资源的链接仅用于在钉钉中发送 markdown 图片

按照我的知识来看, 好像基本上这种设定图片被无关人员获取到的几率是非常小了吧

图片设置了 TTL 为 1 天, HTTPS 也可以对资源的路由加密, 钉钉渲染不出错的话应该不会显示图片源, 随机生成的链接也不太可能被爬到

还有漏洞吗?

1386 次点击
所在节点    问与答
10 条回复
codehz
2020-03-31 09:28:55 +08:00
你整个 uuid 就好
raymanr
2020-03-31 09:33:52 +08:00
@codehz 都给忘了还有 uuid 这东西了, 打算用 hash 生成的, 不过关键是可能泄露不, 我知识储备有限, 想不出来还有没有遗漏的地方
msg7086
2020-03-31 09:48:14 +08:00
浏览器上报外传。
raymanr
2020-03-31 10:01:21 +08:00
@msg7086 这是个盲点, 不过如果访问源仅仅只有钉钉?
msg7086
2020-03-31 10:08:13 +08:00
如果丁丁自己安全的话那好像没事。
geelaw
2020-03-31 10:10:47 +08:00
@codehz #1 UUID 的生成算法不一定是不可预测的。

> 钉钉渲染不出错的话应该不会显示图片源

这是一个很怪异的陈述,楼主到底想要防什么呢?任何可以获得图片的人,再获得图片的 URI 有什么不可以的吗?

另外请楼主不要重复发贴 /t/656378
chanchan
2020-03-31 10:41:50 +08:00
参考一下阿里云 oss ?
raymanr
2020-03-31 10:49:12 +08:00
@geelaw 重复发的原因是我觉得上一次的描述不够详细所以没有人回复. 我也不知道防什么, 也许是防技术部的头头瞎逼逼吧.
raymanr
2020-03-31 10:51:30 +08:00
@chanchan 感谢, 这个不错, 连自己搭服务都省了
baobao1270
2020-03-31 20:36:05 +08:00
似乎 QQ 聊天的图片,只要有 URL 也是可以直接访问的……
Youtube 也有 “只有获得链接的人才能访问”的功能
不包含特别隐私的信息的话,应该是够了
有隐私信息的化建议改其他方案

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/657813

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX