يبدو أن العديد من المشاركات الأخيرة تحتوي على عمليات تحميل بعناوين URL آمنة على الرغم من أن عمليات التحميل نفسها لم يتم تمييزها على أنها آمنة، كما أن مجموعة فرعية صغيرة من تلك التحميلات تحتوي أيضًا على صور محسّنة تم تعيين قائمة التحكم في الوصول (ACL) الخاصة بها بشكل غير صحيح. جميع الصور الأصلية لديها قائمة التحكم في الوصول الصحيحة في S3.
3 إعجابات
أنا مرتبك، لا أعتقد أننا ندعم “الوضع المختلط” بشكل صحيح يا @martin؟
عند تمكين التحميلات الآمنة، يجب تأمين كل شيء بما في ذلك المنشورات العامة؟
3 إعجابات
القواعد هي:
- إذا كان
login_required، فسيتم تمييز كل شيء على أنه آمن باستثناء الأشياء العامة مثل شعار الموقع، الرموز التعبيرية، إلخ. - إذا لم يكن كذلك، فسيتم تمييز التحميلات في الرسائل الخاصة أو الفئات الآمنة فقط على أنها آمنة.
سأحتاج إلى رؤية بعض الأمثلة على ذلك، هل من الممكن أن يكون عنوان URL للصورة قد تم نسخه من منشور آخر إلى منشور جديد؟ لم أر هذا السلوك من قبل لشيء يحصل على عنوان URL آمن دون أن يكون التحميل الأساسي آمنًا.
4 إعجابات
كان هذا أحدها الذي وجدته (على حد علمي لم تكن أي من الصور مرتبطة بشكل مباشر)
الصورة العلوية لا تحتوي على رابط آمن، ولكن جميع الصور الأخرى تحتوي عليه (على الرغم من أن ذلك يتم إلغاؤه بواسطة قائمة التحكم في الوصول للقراءة العامة). لقد لاحظت أنه في كل منشور متأثر آخر، تكون الصورة الأولى دائمًا هي الصحيحة ولكن ليس الصور الأخرى (المنشورات التي تحتوي على صورة واحدة فقط لا تتأثر)
إعجاب واحد (1)
حسنًا، لقد وجدت مشكلة أخرى، على الرغم من أنها أقل تكرارًا الآن.
تم بالفعل تمييز الصور على أنها آمنة في قاعدة البيانات (ولم يتم ربطها بشكل مباشر)، مع السبب access control post dictates security | source: post creator، على الرغم من أن منشور التحكم في الوصول هو منشور عام لم يتم تعديله أو نقله مطلقًا.
مثل المنشور السابق أعلاه، لم يتم تمييز الصورة الأولى في المنشور على أنها آمنة ولكن تم تمييز جميع الصور الأخرى.
يحدث شيء مشابه جدًا في منتدى آخر على الرغم من أنه في هذه الحالة، فإن التحميل الأول فقط آمن ولكن لا شيء آخر.