_nec - webfejlesztés, front-end programozás, javascript, css, xhtml, ajax, air

A szerveroldali CSS cache biztonságáról

Nemrég fejeződött be egy telekommunikációs cég oldalának átalakítása, melyben a css fileokat szerveroldalon egy egyszerű gyorsítótár szolgálta ki. A megoldás nagyon egyszerű, a szerver megkapja a fileok neveit kiterjesztés nélkül egy GET kérésben, megnézi, hogy ez a kérés létezik e már a tárban (hash alapján), és kiküldi a fileokat összefűzve, whitespace-mentesen, minimalizálva.

Amire ilyenkor viszont mindíg figyelni kell, az az, hogy a nagy cache fileok felzabálhatját a tárhelyed, ha nem ellenőrzöd ezeket a kéréseket rendesen. Megvallom, főleg front-end fejlesztőként bele se gondoltam pár dologba.

Mivel a CSS fileok szabadon elérhetőek kell legyenek a böngésző számára, lehetséges módosítani a lekérést, átrendezni a lekért fileok sorrendjét, duplikálni egy vagy több file nevét, s ezzel akár több ezer variációt is létrehozhatunk, ami simán betelítheti a tárhelyünket css fileokkal.

A hozzáférés szabályozása lehet komplikáltabb, figyelni a lekérések elemeit, sorrendiséget, vagy egyszerűbb, pl egy konkrét lekérdezést engedélyezni, ami lehet elég is, ritka az hogy egy sitehoz újabb css file-t adunk hozzá a napi karbantartás során. A lényeg az, hogy ilyen egyszerű dolgok is biztonsági kockázatot jelenthetnek egy oldal illetve szerver működése szempontjából.

Hozzászólások, trackbackek [trackback url]