fájlok rejtése

Internet: PHP, CGI, stb.

A felhasználónak kimegy egy mail, és egy fájl eléréséhez kéne hozzáférést adni vele, több felhasználónak ugyanahhoz a fájlhoz, de azért relative biztonságosnak kell lennie. Emailben megy ki, tehát nem atombiztos, de azért ennek megfelelően... pl a google ne találja meg, ha egy mód van rá
most í publikus fájlok elérése így néz ki:
.../download?hash=vtqw346qv34v6q3
ez így elmegy a rejtett fájlokhoz is, mivel md5 hash-t úgysem lehet csak úgy kisujjból kiszopni, vagy hogy lehetne még megoldani, hogy egyszerű is maradjon, meg az emailnek megfelelően rejtve is?

köszi

  • 1272 megtekintés

( tovis v | 2011. 05. 09., h – 12:04 )

subscribe

* Én egy indián vagyok. Minden indián hazudik.

( Fisher v | 2011. 05. 09., h – 12:11 )

google: robots.txt

.htaccess: http://pastebin.com/giE6wQXD

Ez csak az index.html-re kér jelszót, ha valaki tudja a pontos url-t, akkor az jelszó nélkül tölthet. Így nincs szükség az md5 hash hókuszpókra.

Amúgy mi a "megfelelően rejtve"? Azaz mi a megfelelő?

a hókuszpókusz azért van, mert abban nincs ékezet, szóval a fájlkezelés adatbázis alapu

ha jol látom, ez az apache mod arra jo, hogy egy könyvtárhoz ad hozzáférést, de nekem az kell, hogy pár user erre a fájlra, pár user arra a fájlra kap hozzáférést, egyenként

nah ja, én is ezt mondtam, de akkor jött az, hogy a hülyeuser elfelejti a jelszavát, és aztán őket hívogatja, és azt nem akarják, hanem akkor amikor a fájl esedékes, akkor elküldik mailben, max egy ideiglenes jelszóval, de jobb lenne ezt is elkerülni, és ennyi

az első ötlet az volt, hogy kap minden fájl egy jelszót, és a download-ot okositom meg ugy, hogy a titkos fájlokhoz kérje. aztán hogy akkor már miért ne lehetne a jelszó az url-ben. aztán arra gondoltam, hogy ha maga a hash elég bonyolult, akkor már az is jelszó tulajdonképpen.
hol tévedek?

( yetii | 2011. 05. 09., h – 12:25 )

Ha gmail címre küldöd, akkor már tudni fog róla a Google...

( Rt711 v | 2011. 05. 09., h – 15:34 )

WebDAV nem járható út?

-
Debian Squeeze

( hrgy84 | 2011. 05. 09., h – 17:26 )

A megoldas borzaszto egyszeru, generalsz hozzaferesi kodokat, amiknek idore van lejarata. Vagyis, ha mondjuk ket napon belul nem tolti le, akkor megszunik az eleres. Ha letoltotte, megszunik az eleres.

A download.php-ban csak annyit kell csinalni, hogy megnezed, hogy a kapott kod letezo es ervenyes-e, ha igen, akkor kiadod a fajlt es ervenytelenited a kodot. Ez eddig egy SELECT es egy UPDATE.
A kod felvitele megint rem egyszeru kell egy form, js-sel betolteskor legeneralod a kulcsot, van rajta egy upload gomb meg egy datepicket, es ennyi.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

( yorkeetech | 2011. 05. 09., h – 17:51 )

Ha jól értettem a kérdést, szerintem a következő pár lépés lenne ideális:
1. .htaccess kellő módósítása, hogy senki ne érhesse el az adott fájlokat, csak a szerver oldali szkript
2. levél kiküldésében az URL mondjuk egy "download.php?kod=[akarmi]"-ra mutat
3. download.php adatbázisból ellenorzi, hogy [akarmi] érévényes kód-e, ha igen, akkor egyrészt törli az érvényességet, másrészt a script el is kezdi tolni neki az adatot (pl fpassthru, vagy amit akartok)

az adatbázis miatt viszonylag jól nyomonkövethető, és a php script révén akár további feltételekkel is bővithető később
ergo majdnem ugyanaz, mint a mostani. miért is nem jó ez? :)

----------------
...jönnek a gépek, a szemükben nincs harag...