1

初めての (粗雑な) コンテンツ管理システムを構築しています。ユーザーは、ファイル (pdf、doc、xls など) をアップロード/保存できます。ファイルは mcrypt で暗号化されます。また、pdf/ドキュメント ビューアーも持っているので、ユーザーはファイルをダウンロードせずに閲覧できます。しかし、暗号化されたファイルの操作に問題があります。

現時点では、ユーザーがファイルをクリックすると、php スクリプトがプラグインがアクセスできるフォルダーへのコピーを復号化します。明らかに、閲覧後にこれらの復号化されたファイルを削除する方法が必要です。現在、PHP 経由で実行しようとしていますが、プラグインがファイルをロードするのに十分な時間スクリプトを遅らせるのに問題があります。これはそれを行うための最良の方法ですか?たとえば、cron ジョブの方がよいでしょうか。

助言がありますか?

4

1 に答える 1

1

復号化されたコンテンツをブラウザに直接提供する PHP スクリプトの URL にプラグインを誘導することをお勧めします。このようにして、一時ファイルを完全に回避できます。

セキュリティに関するあらゆる質問と同様に、問題は何を防御しようとしているのかということです。サーバー上で公開されているクリアテキスト コンテンツについて懸念がありますか? それとも、ユーザーが一時的なファイル名を推測して、アクセスしてはならないコンテンツにアクセスすることを心配していますか? 後者の場合、cronjob によって有効期限が切れる十分に強力な (ユーザー認証と暗号鍵の弱い方と同じくらい強力な) ランダムなファイル名で十分です。前者の場合は、私の最初の推奨事項を参照し、サーバー上のキーを保護するために特別な注意を払ってください。

于 2013-05-07T21:14:40.473 に答える