_nec - webfejlesztés, front-end programozás, javascript, css, xhtml, ajax, air

A szerveroldali CSS cache biztonságáról

Nemrég fejeződött be egy telekommunikációs cég oldalának átalakítása, melyben a css fileokat szerveroldalon egy egyszerű gyorsítótár szolgálta ki. A megoldás nagyon egyszerű, a szerver megkapja a fileok neveit kiterjesztés nélkül egy GET kérésben, megnézi, hogy ez a kérés létezik e már a tárban (hash alapján), és kiküldi a fileokat összefűzve, whitespace-mentesen, minimalizálva.

Amire ilyenkor viszont mindíg figyelni kell, az az, hogy a nagy cache fileok felzabálhatját a tárhelyed, ha nem ellenőrzöd ezeket a kéréseket rendesen. Megvallom, főleg front-end fejlesztőként bele se gondoltam pár dologba.

Mivel a CSS fileok szabadon elérhetőek kell legyenek a böngésző számára, lehetséges módosítani a lekérést, átrendezni a lekért fileok sorrendjét, duplikálni egy vagy több file nevét, s ezzel akár több ezer variációt is létrehozhatunk, ami simán betelítheti a tárhelyünket css fileokkal.

A hozzáférés szabályozása lehet komplikáltabb, figyelni a lekérések elemeit, sorrendiséget, vagy egyszerűbb, pl egy konkrét lekérdezést engedélyezni, ami lehet elég is, ritka az hogy egy sitehoz újabb css file-t adunk hozzá a napi karbantartás során. A lényeg az, hogy ilyen egyszerű dolgok is biztonsági kockázatot jelenthetnek egy oldal illetve szerver működése szempontjából.

cimkék:

Hozzászólások, trackbackek [trackback url]

Szólj hozzá







kategóriák


del.icio.us

  • No bookmarks avaliable.

epp olvasom

  • A Clash of Kings

    A Clash of Kings by George R.R. Martin

flickr

  • Tuomas Holopainen - the Imagineer
  • The Flock
  • Christmas Crow
  • Geek joy
  • Fast Food - extreme edition
  • Teide north side
  • Teide National Park
  • Genesis
  • Rado Cerix
  • werk - _nec
  • werk - Strati

back to index