V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
raymanr
V2EX  ›  问与答

使用 HTTPS, URL 随机字符串生成, 服务器不设 IP 限制, 这样的资源可能被获取到吗?

  •  
  •   raymanr · 2020-03-31 09:23:09 +08:00 · 1390 次点击
    这是一个创建于 1732 天前的主题,其中的信息可能已经有所发展或是发生改变。

    资源的链接仅用于在钉钉中发送 markdown 图片

    按照我的知识来看, 好像基本上这种设定图片被无关人员获取到的几率是非常小了吧

    图片设置了 TTL 为 1 天, HTTPS 也可以对资源的路由加密, 钉钉渲染不出错的话应该不会显示图片源, 随机生成的链接也不太可能被爬到

    还有漏洞吗?

    10 条回复    2020-03-31 20:36:05 +08:00
    codehz
        1
    codehz  
       2020-03-31 09:28:55 +08:00 via Android   ❤️ 1
    你整个 uuid 就好
    raymanr
        2
    raymanr  
    OP
       2020-03-31 09:33:52 +08:00
    @codehz 都给忘了还有 uuid 这东西了, 打算用 hash 生成的, 不过关键是可能泄露不, 我知识储备有限, 想不出来还有没有遗漏的地方
    msg7086
        3
    msg7086  
       2020-03-31 09:48:14 +08:00
    浏览器上报外传。
    raymanr
        4
    raymanr  
    OP
       2020-03-31 10:01:21 +08:00
    @msg7086 这是个盲点, 不过如果访问源仅仅只有钉钉?
    msg7086
        5
    msg7086  
       2020-03-31 10:08:13 +08:00
    如果丁丁自己安全的话那好像没事。
    geelaw
        6
    geelaw  
       2020-03-31 10:10:47 +08:00
    @codehz #1 UUID 的生成算法不一定是不可预测的。

    > 钉钉渲染不出错的话应该不会显示图片源

    这是一个很怪异的陈述,楼主到底想要防什么呢?任何可以获得图片的人,再获得图片的 URI 有什么不可以的吗?

    另外请楼主不要重复发贴 /t/656378
    chanchan
        7
    chanchan  
       2020-03-31 10:41:50 +08:00 via Android   ❤️ 1
    参考一下阿里云 oss ?
    raymanr
        8
    raymanr  
    OP
       2020-03-31 10:49:12 +08:00
    @geelaw 重复发的原因是我觉得上一次的描述不够详细所以没有人回复. 我也不知道防什么, 也许是防技术部的头头瞎逼逼吧.
    raymanr
        9
    raymanr  
    OP
       2020-03-31 10:51:30 +08:00
    @chanchan 感谢, 这个不错, 连自己搭服务都省了
    baobao1270
        10
    baobao1270  
       2020-03-31 20:36:05 +08:00
    似乎 QQ 聊天的图片,只要有 URL 也是可以直接访问的……
    Youtube 也有 “只有获得链接的人才能访问”的功能
    不包含特别隐私的信息的话,应该是够了
    有隐私信息的化建议改其他方案
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1016 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 19:21 · PVG 03:21 · LAX 11:21 · JFK 14:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.