使用 HTTPS, URL 随机字符串生成, 服务器不设 IP 限制, 这样的资源可能被获取到吗?

2020-03-31 09:23:09 +08:00

raymanr

资源的链接仅用于在钉钉中发送 markdown 图片

按照我的知识来看, 好像基本上这种设定图片被无关人员获取到的几率是非常小了吧

图片设置了 TTL 为 1 天, HTTPS 也可以对资源的路由加密, 钉钉渲染不出错的话应该不会显示图片源, 随机生成的链接也不太可能被爬到

还有漏洞吗?

1299 次点击

所在节点

10 条回复

codehz

2020-03-31 09:28:55 +08:00

你整个 uuid 就好

raymanr

2020-03-31 09:33:52 +08:00

@codehz 都给忘了还有 uuid 这东西了, 打算用 hash 生成的, 不过关键是可能泄露不, 我知识储备有限, 想不出来还有没有遗漏的地方

msg7086

2020-03-31 09:48:14 +08:00

浏览器上报外传。

raymanr

2020-03-31 10:01:21 +08:00

@msg7086 这是个盲点, 不过如果访问源仅仅只有钉钉?

msg7086

2020-03-31 10:08:13 +08:00

如果丁丁自己安全的话那好像没事。

geelaw

2020-03-31 10:10:47 +08:00

@codehz #1 UUID 的生成算法不一定是不可预测的。

> 钉钉渲染不出错的话应该不会显示图片源

这是一个很怪异的陈述，楼主到底想要防什么呢？任何可以获得图片的人，再获得图片的 URI 有什么不可以的吗？

另外请楼主不要重复发贴 /t/656378

chanchan

2020-03-31 10:41:50 +08:00

参考一下阿里云 oss ？

raymanr

2020-03-31 10:49:12 +08:00

@geelaw 重复发的原因是我觉得上一次的描述不够详细所以没有人回复. 我也不知道防什么, 也许是防技术部的头头瞎逼逼吧.

raymanr

2020-03-31 10:51:30 +08:00

@chanchan 感谢, 这个不错, 连自己搭服务都省了

baobao1270

2020-03-31 20:36:05 +08:00

似乎 QQ 聊天的图片，只要有 URL 也是可以直接访问的……
Youtube 也有 “只有获得链接的人才能访问”的功能
不包含特别隐私的信息的话，应该是够了
有隐私信息的化建议改其他方案

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.