جلوگيری از دزدیده شدن محتویات وب سایت

[Mehdi]

موضوع اين مقاله کلیه فایلهای موجود در سایت از قبیل JPG ،DOC ،PDF... می‌باشد. اگر از فایلهای خود محافظت نکنید به راحتی هر کسی میتواند به آنها دسترسی پیدا کند چون فقط کافیست از URL آن مطلع شود تا به راحتی بتواند آن را دانلود کند و یا با استفاده از یک Spider کل اطلاعات سایت شما را دریافت کند همانطور که مدتهاست گوگل در حال انجام اینکار است و کلیه تصاویر موجود در هر سایت را ذخیره می کند. خوب راه حل جلوگیری از اینکار چیست؟

--------------------------------------------------------------------------------
هر نوع اطلاعاتی که بتوان فقط با یک URL به آن دسترسی پیدا کرد دیگر مال همه است و همه میتوانند به آن دسترسی داشته باشند و سایتهایی مثل گوگل در ظرف چند دقیقه کل اطلاعات شما را به این صورت دریافت میکنند.

بعضی اوقات شما دوست ندارید همه به اطلاعات شما دسترسی داشته باشند و میخواهید فقط به بعضی افراد اجازه دسترسی به بعضی از فایلها را بدهید خوب به نظر شما راه حل چیست؟ اگر فقط یک سیستم مدیریت کاربر بگذارید و کاربران پس از ورود به آن URL خاص دسترسی پیدا کنند خیلی جالب نخواهد بود زیرا فقط کافیست آن آدرس URL لو رود تا مجددا افراد بدون مجوز بتوانند به آن دسترسی پیدا کنند. پس عملا Authentication ساده ASP.net قادر به امن کردن فایلهای شما نیست و شما باید تدابیر دیگری بیاندیشید.

حتی در مورد این فکر نکنید مثلا اسم فایل را بگذارید 32sdf43ef45.pdf چون این کار ابلهانه‌ای است و در اصل مسئله تفاوتی ایجاد نمی کند. یک Spider و یا یک Hacker خوب میتواند به راحتی به فایلهای شما دسترسی پیدا کند.

راه حل در استفاده از HttpHandler است.


مروری بر HttpHandler

HttpHandler شامل یکسری API هایی جهت انجام امور اشیاء Request/Response که با استفاده از آن میتوانید انتقال اطلاعات را کنترل کنید. در اینجا ما باید یک Handler ایجاد کنید که در زمانی که کسی درخواست یک فایل مثلا doc. میدهد اجرا شود.

خوب بهتر است مقداری کد نویسی کنیم تا بهتر موضوع مشخص شود و متوجه شوید چطور میتوان در یک سایت E-Commerce اطلاعات را امن کرد بدون استفاده از تکنیک های FTP و نیاز به مرورگرهای خاص.


تغییر Web.Config

مرحله اول: باید تگ زیر را در web.config موجود در فولدری که میخواهید آن را Secure کنید وارد کنید.

کد:

<HttpHandlers>
    <add verb="*" path="*.doc" type="pdfIntercept.pdfHandler, pdfInterceptX" />
</HttpHandlers>

با اینکار در واقع به IHttpHandler میگوئیم که ما میخواهیم درخواستهایی که آخر آنها doc است را کنترل کنیم.

مشخصه verb میتواند حالتهای POST یا GET یا HEAD داشته باشد که در اینجا ما نوشته ایم * یعنی تمامی حالتهای تقاضا را مورد پوشش قرار می دهد.

مشخصه Path در واقع آدرسی که باید مورد بررسی قرار گیرد که با نوشتن doc.* گفته ایم کلیه آدرس های منتهی به doc

مشخصه Type در واقع کلاس دات نت است که باید تقاضا را Handle کند. باید نام کامل کلاس را به صورت زیر بنویسیم.

[NAMESPACE].[CLASS], [ASSEMBLY NAME]

اضافه کردن یک پسوند دلخواه Custom Extension

باید توجه کرد که باید پسوند مورد نیاز را در IIS هم اضافه کنیم. درضمن سپس تنظیمات دایراکتوری محتوی فایلها را به صورت زیر انجام دهید:

Read : False
Write: False
Directory Browsing: False

حال IIS Manager را اجرا کنید و سپس Properties/Edit… را انتخاب کنید آنگاه به بخش Home بروید و دکمه Configuration را بزنید. سپس باید پسوند مورد نیاز خود مثلا doc, pdf را در صفحه تنظیمات نرم افزار اضافه کنید. برروی دکمه add بزنید و اطلاعات مورد نیاز را پر کنید کار بسیار ساده ای است.

بعد از اینکه اینکارها را کرده اید حال آماده هستید تا کد مربوط به HttpHandler را بنویسید.


کد HttpHandler

در زیر کد مربوط به HttpHandler ارائه شده است. البته شما خود باید کد مربوط به Authentication مربوط به سایت خود را در آن قرار دهید.

کد:

using System;
using System.Web;
using System.IO;

namespace pdfIntercept
{

    public class pdfHandler : IHttpHandler
    {

        //Notice ProcessRequest is the only method
        //exposed by the IHttpHandler
        public void ProcessRequest(HttpContext context)
        {
            try
            {
                string strString = "yes";
                HttpRequest oRequest = context.Request;
                HttpResponse oResponse = context.Response;

                //ADD YOUR CUSTOM AUTHENICATION HERE
                //ADD YOUR CUSTOM AUTHENICATION HERE
                //ADD YOUR CUSTOM AUTHENICATION HERE
                //ADD YOUR CUSTOM AUTHENICATION HERE

                if (strString == "yes")
                {

                    //Since they've made it this far, they've been validated
                    //by your system…
                    //We'll fire up a FileStream object
                    FileStream MyFileStream;
                    long FileSize;

                    //Map the path to the .doc file
                    //You might need to parse out the Request path to figure out
                    //what resource they're actually requesting…
                    string strMapPath = context.Server.MapPath("book1.doc");
                    MyFileStream = new FileStream(strMapPath, FileMode.Open);
                    FileSize = MyFileStream.Length;

                    //Allocate size for our buffer array
                    byte[] Buffer = new byte[(int)FileSize];
                    MyFileStream.Read(Buffer, 0, (int)FileSize);
                    MyFileStream.Close();

                    //Do buffer cleanup
                    context.Response.Buffer = true;
                    context.Response.Clear();

                    //Add the appropriate headers
                    context.Response.AddHeader("content-disposition", 
                        "attachement filename=x.doc");

                    //Add the right contenttype
                    context.Response.ContentType = "application/doc";

                    //Stream it out via a Binary Write
                    context.Response.BinaryWrite(Buffer);
                }
                else
                {

                    //It's a bogus request and they weren't validated.
                    context.Response.Write("<b>DENIED</b>");
                }
            }
            catch (System.Exception err)
            {
                err.ToString();
            }
        }

        //By calling IsReusable, an HTTP factory can query a handler to 
        //determine whether the same instance can be used to service 
        //multiple requests 
        public bool IsReusable
        {
            get
            {
                return false;
            }
        }
    }

}

اگر میخواهید پیچیدگی مربوط به binary stream را کم کنید میتوانید از متد Response.WriteFile به صورت زیر استفاده کنید.

کد:

if (strString == "yes")
{
    context.Response.Buffer = true;
    context.Response.Clear();
    context.Response.AddHeader("content-disposition", 
        "attachement; filename=x.doc");
    context.Response.ContentType = "application/doc";
    context.Response.WriteFile("pp.doc");
}
else
{
    context.Response.Write("<b>DENIED</b>");
}

مراحل کد ارائه شده به صورت زیر است:
1. HttpHandler درخواست مربوط به یک فایل doc را دریافت میکند.
2. سپس شما یکسری چک کردن با دیتابیس برای اینکه متوجه شوید کاربر مجاز به استفاده است انجام میدهید.
3. اگر درخواست مجاز بود یک Binary Stream فایل را برای کاربر ارسال میکند.
4. اگر درخواست غیر مجاز بود برروی صفحه نوشته میشود Denied

HttpHandler یک ابزار بسیار قوی جهت کنترل دسترسی به محتویات موجود برروی وب سایت شما است.

از این روش میتوان در سایتهای E-Commerce و در جاهایی که لازم دسترسی به یک یا چند فایل محدود شود استفاده نمود. با این روش دیگر هیچ URL در کار نخواهد بود که کسی بتواند با منتشر کردن آن اطلاعات شما را بردارد.

موضوعات مشابه:

• مدیریت منابع انسانی در اصول مدیریت
• اشتباهاتی که مانع موفقیت سایت شما می شود
• دو ترابایت (2000 گیگابایت) فضا در جایی نازک‌تراز ناخن انگشت شما !

[Codex]

سلام
همه جای قضیه خوبه جز 1 مورد :

3. اگر درخواست مجاز بود یک Binary Stream فایل را برای کاربر ارسال میکند.

این قسمت باعث بار اضافی روی سرور میشه ، به سرور فشار میاره و توبازدید های بالا اگر cpu مناسب نباشه حتی ممکنه سرور کم بیاره

موفق باشید