AWS S3 / Ruby on Rails / Heroku: Sicherheitsloch in meiner app
https://stackoverflow.com/questions/4003828
-
25-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe einen Weg in meine Config, die besagt, dass für eine Seite, sagen /secure, da eine Anmeldung erforderlich ist (über authlogic getan). Ein before_filter in meinem Controller kümmert sich darum. Das funktioniert gut, die Seite und ihre Ressourcen haben eingeschränkten Zugriff -. Durch die Anwendung
Das Problem ist, wir sind mit Amazon S3 für die Speicherung auf dieser App (basierend auf refinerycms) zu Heroku eingesetzt. Ich habe einen Eimer und es funktioniert gut.
Jedoch kann jede Ressource in dem sicheren Teil der Anwendung eingefügt ist direkt über den Browser. Mit anderen Worten enthält die /secure Seite Produkte wie PDF-Dateien. rel http://s3.amazonaws.com/my_bucket/images/1234/the_file_which_should_be_secure.pdf
Kann ich feinkörnige Zugriffskontrolle auf S3? Muss ich einen neuen Eimer schaffen? Im Idealfall würde Ich mag eine Flagge auf meiner Ressource setzen, die sie unsichtbar im Internet macht -. Weiß nicht,
Jeder Vorschlag begrüßt.
P. S. openid.org ein abgelaufenes SSL-Zertifikat hat, so benötigt ein neues leeres Konto, wie ich konnte nicht login
erstellenLösung
Die einfachste und einfachste Lösung ist nur Ihre S3 Vermögenswerte mit zufälligen, unguessable Dateinamen zu benennen, und dann aussetzen nur die geheime URLs zu den Menschen, den Zugang haben sollte.
Dies ist, wie Facebook-Fotos und viele andere Orte der Arbeit (es gibt keine Privatsphäre oder Sicherheit jenseits der Dunkelheit der einzelnen Dateinamen ist).
Andere Tipps
Sie könnten versuchen, was auf dieser Seite gesagt werden:
http://thewebfellas.com/blog/2009/ 29.08 / Schutz-your-Büroklammer-Downloads
Die specficics sind unter dem Abschnitt "No more Streaming, Zeit für eine Umleitung".
Zusammenfassung. S3 hat vier Dosenzugriffsrichtlinien, unter Verwendung der authentifizierten-Leserichtlinie S3 eine Möglichkeit bietet, einen authentifizierten URL für private Inhalte zu generieren, dass nur für einen bestimmten Zeitraum arbeitet
Ich habe nicht wirklich das getan, so lassen Sie es mich wissen, ob es für Sie arbeitet. : -)
Wenn Sie Büroklammer verwenden, können Sie den Zugriff auf Objekte durch auslaufende URL gespeichert auf Amazon S3 beschränken. (Wenn Sie nichts dagegen auslaufenden url nicht verwenden)
Hier ist das Wiki von thoughtbot / Büroklammer auf GitHub
Auch gibt es einige hilfreiche Links am Ende dieser Seite, die Sie vielleicht nicht missen möchten.
Vielleicht bin ich verwirrt, was Sie versuchen zu erreichen, aber S3 hat Berechtigungen Zugriff, die einen Verschlüsselungsschlüssel erfordern in der URL zu sein, Sie den Benutzer zur Verfügung stellen. Wenn die aws-s3 gem verwenden, ist diese Option standardmäßig aktiviert. Daher sollten Sie nicht in der Lage sein, die Dateien zugreifen, wenn der Benutzer auf den Link mit dem verschlüsselten Schlüssel verwendet darin eingebettet. Dies würde erfordern, um sicherzustellen, dass die Datei nur autorisierten Zugriff eingestellt ist.
Weitere Informationen finden Sie http://amazon.rubyforge.org/ über den Edelstein zu finden. Geben Sie für Dokumentation zu Zutrittskontrolle im Zusammenhang (ich glaube, „authenticated_read“ ist, was Sie wollen).
