Gravacacher jest bardzo prosty i lekki serwer buforowania zaprojektowana w jednym konkretnym celu: by cache avatar obrazów z usług takich jak www.gravatar.com, które zapewniają "uznanych na całym świecie awatarów".
Zazwyczaj Gravacacher zostaną wdrożone na serwisach obsługujących blogi lub fora, które zależą od Gravatars. Projekt Gravacacher obsługuje mechanizm bezpieczeństwa, który umożliwia mu odpowiedzieć tylko zapytania skierowane poprzez adresy URL generowanych przez oprogramowanie serwera, takich jak blogu lub forum silników, stałych podmiotów w pamięci podręcznej, a zarówno pozytywnych jak i negatywnych TTL przy buforowanie.
Oto kilka kluczowych cech "Gravacacher":
· Obsługa mechanizmu bezpieczeństwa, aby umożliwić dostęp tylko do tych awatarów oprogramowanie web wytworzył linki do, o tym poniżej.
· Obsługa wielu witryn - Nie wiem, inne usługi, z wyjątkiem gravatar.com w tej chwili, ale to jest możliwe, że pojawią się nowe.
· Obsługa "stałe" awatary, czyli te, które nigdy nie wygasają - użyteczne dla własnych awatarów przechowywane na własnym serwerze.
· Obsługuje zarówno pozytywne, jak i negatywne TTLS dla pamięci podręcznej awatarów.
· Obsługa "default" awatary pobieranie nawet jeśli główny serwer jest wyłączony lub przeciążony - te ściągnięcie awatary nie zostanie zmieniony, choć, więc upewnij się, że punkty Link do obrazu właściwego rozmiaru.
Wyjaśnienie mechanizm bezpieczeństwa
Podstawowym założeniem jest to, aby uniemożliwić innym z użyciem gravacacher instalacji jako wolne gravatar.com buforowania proxy dla własnych potrzeb.
Pozostawienie otwartego serwera proxy może spowodować niechciane awatary obciążenie systemu i ruchu, ale również nie tylko w przypadku jakiegoś błędu z gravatar.com lub inny serwer można buforować - na przykład, jeśli serwer cache nie sprawdza "default" parametru dobrze wystarczy - nieograniczony instalacji, w rzeczywistości stają się otwarte ogólnego przeznaczenia serwera proxy HTTP, który jest jeszcze bardziej niebezpieczne.
Do pokonania, że odbywa się co następuje:
Generator link (który jest zwykle jakiś blog / silnika forum) oprócz generowania zwykły zestaw parametrów niezbędnych do pobierania informacji z gravatar.com lub innego serwera, generuje także MD5 hash "Hasło" + "parametry", gdzie "hasło" jest znana tylko gravacacher i generatora silnika. Ten skrót jest dołączany do zestawu parametrów, które są wprowadzane w link.
Po służbie wniosek, gravacacher oblicza skrótu MD5 parametrów reveiver (bez mieszania, oczywiście) i porównuje go z odebranym hash. Jeżeli środki te nie są zgodne - wniosek jest odrzucony.
Oto jeden prosty przykład, używając fałszywych hashe / numery dla jasności.
Załóżmy, że wniosek nie jest zwykle generują
http://www.gravatar.com/avatar.php?gravatar_id=12345&size=80&
default = http: //www.example.com/default_image.png
Parametry są tu "gravatar_id = 12345 & size = 80 & default = http: //www.example.com/default_image.png"
Jeśli hasło to "bla bla-bla-" i gravacacher dostępny instalacji jako "www.example.com/gravacacher.fcgi" to program generujący należy wykonać następujące czynności:
gravacacher_id = MD5 ("bla bla-blagravatar_id-= 12345 & size = 80 &
default = http: //www.example.com/default_image.png ")
Niech gravacacher_id z poprzedniego etapu jest "67890" .Następnie możemy wygenerować nowy adres URL umieszczając gravacacher_id istnieje i zastąpienie www.gravatar.com przez gravacacher url skutkuje następującym adresem:
http://www.example.com/gravacacher.fcgi?gravatar_id=12345&size=80&
default = http: //www.example.com/default_image.png&gravacacher_id=67890
Należy pamiętać, że funkcja ta nie zapobiega nieautoryzowanemu pobieranie awatarów z pamięci podręcznej, że generowane linki do - po wszystkim, jest to prawie niemożliwe, aby wiedzieć, czy wnioskodawca jest "ważna" jednym - czyli tego, kto po prostu pobrać strony z serwera i teraz prosi o awatarów linkami z tej strony, w przeciwieństwie do kogoś, kto ściągnięcie strony jakiś czas temu, a teraz wielokrotnie używa wygenerowany link, aby pobrać avatar kółko.
Jednak to nie przeszkadza innym korzystanie z pamięci podręcznej, aby pobrać rzeczy nigdy nie wygenerowane linki do - i to, wierzę, powinien być wystarczający dla większości ludzi. Jeśli nie, rozważyć wprowadzenie jakiejś formy obrotu haseł, tak, że hasło, używane do generowania linków zmieniana jest raz na jakiś czas, co powoduje, wszystkie poprzednie linki nieważne.
Wreszcie, oczywiście, jeśli pomimo wszelkich niebezpieczeństw chcesz nieograniczony dostęp - można włączyć zabezpieczenia sprawdzić off, określając puste hasło w config i pomijając gravacached_id z linków. - Wtedy gravacacher będzie działać w trybie nieograniczonego
Komentarze nie znaleziono