Gravacacher er meget enkel og let caching server beregnet til én bestemt formål: at cache avatar billeder fra tjenester som www.gravatar.com, som giver "globalt anerkendte avatarer".
Typisk vil Gravacacher blive indsat på websteder, som vært blogs eller fora, som er afhængige af Gravatars. Den Gravacacher Projektet understøtter en sikkerhedsmekanisme, der gør det muligt at besvare kun forespørgsler foretaget via URL'er genereret af din server-software, såsom blog eller forum motorer, permanent cachede enheder, og både positive og negative TTLS når caching.
Her er nogle vigtige funktioner i "Gravacacher":
· Understøtter sikkerhed mekanisme til at tillade adgang kun til disse avatarer din web software har genereret links til, mere om det nedenfor.
· Understøtter flere steder - jeg kender ikke nogen anden tjeneste, bortset gravatar.com i dette øjeblik, men det er muligt, nye kunne vises.
· Understøtter "permanent" avatarer, dvs. dem, der aldrig udløber - nyttige for dine egne avatarer gemt på din egen webserver.
· Understøtter både positive og negative TTLS for cachede avatarer.
· Understøtter "Default" avatarer hente selv hvis vigtigste server er nede eller overbelastet - de hentede avatarer vil ikke blive ændret, selv om, så sørg for, at linket peger på billedet af korrekte størrelse.
Sikkerhedsmekanisme forklaring
Den grundlæggende idé er at forhindre, at andre for at bruge din gravacacher installation som fri gravatar.com caching proxy for deres egne behov.
Forlader din avatars proxy åben kunne ikke blot forårsage uønskede systemet belastning og trafik, men også i tilfælde af en fejl fra gravatar.com eller anden server, du kunne cache - for eksempel, hvis den server, du cache ikke validerer "default" parameteren godt nok - ubegrænset installation faktisk ville blive åben generelle formål HTTP proxy-server, som er endnu mere farligt.
For at overvinde, at følgende sker:
Link generator (som typisk er nogle blog / forum motor) udover at generere den sædvanlige sæt parametre der er nødvendige for at hente oplysningerne fra gravatar.com eller anden server, genererer også MD5 hash af "password" + "parametre", hvor "password" er kun kendt gravacacher og generator motor. Denne hash er vedlagt sættet af parametre, der er sat i linket.
Ved servering anmodning gravacacher beregner MD5 hash af reveiver parametre (ekskl hash, naturligvis), og sammenligner den med den modtagne hash. Hvis disse ikke stemmer overens - anmodning afvises.
Her er et simpelt eksempel, bruger falske hashes / ids for klarhed.
Antag, at anmodningen ville vi normalt generere er
http://www.gravatar.com/avatar.php?gravatar_id=12345&size=80&
default = http: //www.example.com/default_image.png
Parametre her er "gravatar_id = 12345 & size = 80 & default = http: //www.example.com/default_image.png"
Hvis adgangskoden er "bla-bla-bla" og gravacacher installation er tilgængelig som "www.example.com/gravacacher.fcgi" så den genererende software skal gøre følgende:
gravacacher_id = MD5 ("bla-bla-blagravatar_id = 12345 & size = 80 &
default = http: //www.example.com/default_image.png ")
Lad gravacacher_id fra det foregående trin være "67890" .Derefter vi genererer ny URL ved at sætte gravacacher_id der og erstatte www.gravatar.com ved gravacacher url resulterer i følgende url:
http://www.example.com/gravacacher.fcgi?gravatar_id=12345&size=80&
default = http: //www.example.com/default_image.png&gravacacher_id=67890
Bemærk, at denne funktion ikke forhindre uautoriseret hentning af avatarer fra din cache, som du genererede links til - trods alt, er det næsten umuligt at vide, hvis rekvirenten er den "gyldig" én - dvs. at en, der lige har downloadet den side fra din server og nu beder om avatarer af links fra denne side, i modsætning nogen, der hentede den side et stykke tid siden, og nu gentagne gange bruger genereret link for at hente avatar igen og igen.
Men det forhindrer andre i at bruge din cache til at hente ting, du aldrig har genereret links til - og det, jeg beleive, burde være nok for de fleste. Hvis ikke, overveje at indføre en form for passwords rotation, således at den adgangskode, der anvendes til generering links skiftes en gang i et stykke tid, hvilket gør alle tidligere links ugyldige.
Endelig selvfølgelig, hvis trods alle farer, du ønsker ubegrænset adgang - du kan slå sikkerheden afkrydse ved at angive tom adgangskode i config og udelade gravacached_id fra dine links -. Så gravacacher vil arbejde i ubegrænset tilstand
Kommentarer ikke fundet