首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
raymanr
V2EX  ›  问与答

使用 HTTPS, URL 随机字符串生成, 服务器不设 IP 限制, 这样的资源可能被获取到吗?

  •   
  •   raymanr · 2020 年 3 月 31 日 · 1591 次点击
    这是一个创建于 2115 天前的主题,其中的信息可能已经有所发展或是发生改变。

    资源的链接仅用于在钉钉中发送 markdown 图片

    按照我的知识来看, 好像基本上这种设定图片被无关人员获取到的几率是非常小了吧

    图片设置了 TTL 为 1 天, HTTPS 也可以对资源的路由加密, 钉钉渲染不出错的话应该不会显示图片源, 随机生成的链接也不太可能被爬到

    还有漏洞吗?

  • 钉钉
  • 图片
  • 生成
  • Markdown
    10 条回复    2020-03-31 20:36:05 +08:00
    codehz
        1
    codehz  
       2020 年 3 月 31 日 via Android   ❤️ 1
    你整个 uuid 就好
    raymanr
        2
    raymanr  
    OP
       2020 年 3 月 31 日
    @codehz 都给忘了还有 uuid 这东西了, 打算用 hash 生成的, 不过关键是可能泄露不, 我知识储备有限, 想不出来还有没有遗漏的地方
    msg7086
        3
    msg7086  
       2020 年 3 月 31 日
    浏览器上报外传。
    raymanr
        4
    raymanr  
    OP
       2020 年 3 月 31 日
    @msg7086 这是个盲点, 不过如果访问源仅仅只有钉钉?
    msg7086
        5
    msg7086  
       2020 年 3 月 31 日
    如果丁丁自己安全的话那好像没事。
    geelaw
        6
    geelaw  
       2020 年 3 月 31 日
    @codehz #1 UUID 的生成算法不一定是不可预测的。

    > 钉钉渲染不出错的话应该不会显示图片源

    这是一个很怪异的陈述,楼主到底想要防什么呢?任何可以获得图片的人,再获得图片的 URI 有什么不可以的吗?

    另外请楼主不要重复发贴 /t/656378
    chanchan
        7
    chanchan  
       2020 年 3 月 31 日 via Android   ❤️ 1
    参考一下阿里云 oss ?
    raymanr
        8
    raymanr  
    OP
       2020 年 3 月 31 日
    @geelaw 重复发的原因是我觉得上一次的描述不够详细所以没有人回复. 我也不知道防什么, 也许是防技术部的头头瞎逼逼吧.
    raymanr
        9
    raymanr  
    OP
       2020 年 3 月 31 日
    @chanchan 感谢, 这个不错, 连自己搭服务都省了
    baobao1270
        10
    baobao1270  
       2020 年 3 月 31 日
    似乎 QQ 聊天的图片,只要有 URL 也是可以直接访问的……
    Youtube 也有 “只有获得链接的人才能访问”的功能
    不包含特别隐私的信息的话,应该是够了
    有隐私信息的化建议改其他方案
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   1708 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 16:25 · PVG 00:25 · LAX 08:25 · JFK 11:25
    ♥ Do have faith in what you're doing.