כנסו והצביעו: בעית אבטחה בגוגל פוטוס.
-
זה דבר מפורסם ולא נחשב כבעיית אבטחה. (גוגל חזקים באבטחה ולא נחשדים להשאיר חור כזה פתוח).
לינקים לכתבות בנושא. -
@yossiz אמר בכנסו והצביעו: בעית אבטחה בגוגל פוטוס.:
זה דבר מפורסם ולא נחשב כבעיית אבטחה. (גוגל חזקים באבטחה ולא נחשדים להשאיר חור כזה פתוח).
לינקים לכתבות בנושא.לפי מה שנראה מהכתבה, הסיבה העיקרית שזה כך היא:
כדי שיוכלו לשתף את התמונות באופן חופשי, גם בלי 'לשתף' בפועל, ושיוכלו לראות את התמונות גם בלי חשבון גוגל. (לא מתאים להם כ"כ
). -
-
@yits אמר בכנסו והצביעו: בעית אבטחה בגוגל פוטוס.:
@dovid
אז למה זה חסום בנטפרי?בגלל שנטפרי לא רוצה לשלוח לבדיקה את כל מה שמאונדקס בגוגל שקשור לדומיין הזה, ללא אבחנה כל שהיא.
ניתן לעשות שלינק שנמצא בתוך HTML של אתר כלשהוא יהיה חסום,
אבל לינק שמתקבל כ Response לא ייחסם.לא הבנתי, בכל מקרה ההחלטה של נטפרי לחסום או לפתוח נעוצה רק בתשובה ישירה. כשיש לינק בHTML נטפרי בכלל לא "סופרת" אותו, והיא משאירה אותו ללא קשר להאם היעד חסום או פתוח. גם אם מדובר בתמונה בHTML (לזה התכוונת?) הדפדפן מבקש את זה כלינק ישיר בפני עצמו אלא שהוא מוסיף שדה reffer. בשביל לסמוך על הreffer הזה (כי אפשר עם קומבינה לשתול אותו תמיד גם אם זה לא פני המציאות), צריך לעשות מנגנון שנטפרי מיישמת במקומות מוגבלים מאוד בינתיים.
-
@dovid אמר בכנסו והצביעו: בעית אבטחה בגוגל פוטוס.:
בשביל לסמוך על הreffer הזה (כי אפשר עם קומבינה לשתול אותו תמיד גם אם זה לא פני המציאות), צריך לעשות מנגנון שנטפרי מיישמת במקומות מוגבלים מאוד בינתיים.
נטפרי כספק יכולים ליצור מערך זמני בכל session של התמונות שאני אמור לקבל מגוגל פוטוס, וזה כמובן מגיע מהשרת של גוגל (בתוך ה HTML).
ואח"כ כל בקשה שלי לצפייה בתמונה תבדק מול המערך.
