、私はR / T資産/ Wレール認証を理解するのに役立ちSWFのような
-
23-08-2019 - |
質問
私はレールのnoobです。私は資産が認証されたシステムでどのように機能するかを概念化の問題を抱えています。
私はこれまで、パブリックフォルダにSWFを置き、あなたのビューでそれらを埋め込むことについて話を見てきましたチュートリアルのすべて。しかし、私が使用しているSWFは、ログインした安らかな認証を通じてユーザーによって使用されるべきであるフレックスGUIです。私は、パブリックフォルダにGUIを置くことは認証システムを持つことの全体の目的を破っだろうと想像します。
それでは、誰もがこのような静的なコンテンツへのアクセスを制限するためにしているのですか?
解決
あなたはここで少し慎重になりたいです。お使いのシステムが適切に確保されている場合は、FlexのGUIを持つ認証されていないユーザーは、右、それを使用することはできませんか?彼はまた。そうでログインしなければならないであろう、任意のユーザーがSWFファイルをダウンロードさせない何らかの理由があるのでしょうか?
単独のSWFファイルを持つことは、サイトを利用するのに十分な「認証」である場合は、は、セキュリティホールを持っています。考えてみましょう。
a)の利用者は、彼が自分のサイトからダウンロードすることができませんでした場合でも、その後、それを使用することができ、他の誰かにダウンロードSWFファイルのコピーを与えることができる。
B)FlexのGUIには、データを取得し、コマンドを送信するために、あなたのサイトとの通信にHTTPを使用しています。誰もがプログラムを書いたり、FlexのGUIを使用せずに、同じHTTPリクエストを送信するために他の手段を使用することができます。
所属していません StackOverflow