2

私はそれを修正するために私がしなければならないことの手がかりを持っていません、そしてこのウェブサイトを検索した後、私はここで答えを得ることができたようです。

私はクライアントのウェブサイトで働いています。彼はマーケティング担当者であり、デジタル製品を持っており、それらの一部を無料でダウンロードすることを許可しています。

彼らがダウンロードをクリックした後、私は彼らにダウンロードへのリンクを記載したメールを送ります。

私の質問は、ファイルの場所が非表示のままになるようにこのリンクを暗号化するにはどうすればよいですか?ファイルは通常、ビデオ、mp3、またはpdf形式です。

4

2 に答える 2

2

URL を公開しないことによってのみファイルが保護されている場合、特にディレクトリの参照が有効になっている場合、これは適切なセキュリティ対策 (隠蔽によるセキュリティ) ではありません。ただし、Web サイトを再設計するオプションがない場合があります。

最良の方法は、Web サーバーによって検証される何らかの形式のトークンまたはユーザー名 (Web ページに入力するか、URL で指定) を発行して、成功した場合はダウンロードを開始することです。いくつかの考慮事項:

  • これらのトークン (事実上パスワード) は、ランダムに生成する必要があります (暗号化標準の乱数ジェネレーターなどを使用して)。
  • トークンのハッシュはサーバーに保存されます (たとえば、PBKDF2 を使用します)。
  • トークンはタイムアウトするはずです。顧客に送信される電子メールは暗号化されていないため、多くの人が傍受または閲覧できることに注意してください。同様に、サイトが SSL 経由でアクセスされない限り、それらも暗号化されずにサイトに送信されます。
于 2012-09-24T13:56:30.183 に答える
1

HTML リンクを暗号化することはできません。定義上、ブラウザは、リンクをクリックしたユーザーをどこに送るかを知る必要があります。HTML 内のリンクを難読化したとしても、ジュニア レベルのセキュリティ アナリストは、Paros などのプロキシを使用してこの「セキュリティ」メカニズムをバイパスできます。

リソースの表示 (クライアントのファイルのダウンロード) を許可する前に、クライアントのサイトに対してユーザーを認証する必要があります。ユーザーがアクセスを許可する必要があるもののみを表示/ダウンロードするようにプログラムで制限します。

于 2012-09-24T13:51:36.943 に答える