Регистр символов
Добавлено: Пн авг 23, 2004 23:05
Уважаемые коллеги и автор!
Интересует вопрос: Режик при анализе URL не учитывает регистр символов?
Интересует вопрос: Режик при анализе URL не учитывает регистр символов?
Страница 1 из 1
Добавлено: Вт авг 24, 2004 11:25
Учитывает.
Добавлено: Вт авг 24, 2004 11:42
оппачки... 
Так, выходит, его элементарно обойти...
Я, предположим, закрываю весь сайт типа zvuki.ru, ибо закрывать отдельные файлы с него бессмысленно: там вместо mp3, как минимум, могут лежать гифы с музыкой.
А умный пользователь берёт и пишет вместо zvuki.ru ZVUKI.ru. И voila - он на сайте, ибо DNS без разницы регистр...
Так, выходит, его элементарно обойти...
Я, предположим, закрываю весь сайт типа zvuki.ru, ибо закрывать отдельные файлы с него бессмысленно: там вместо mp3, как минимум, могут лежать гифы с музыкой.
А умный пользователь берёт и пишет вместо zvuki.ru ZVUKI.ru. И voila - он на сайте, ибо DNS без разницы регистр...
Добавлено: Вт авг 24, 2004 11:48
Однако, странно...
Пока тестирую - таким способом не пропускает.
Пока тестирую - таким способом не пропускает.
Добавлено: Вт авг 24, 2004 12:02
На сколько я понимаю, браузер или сквид опускают регистр доменного имени и оставляют без изменений регистр папок/файлов.
Соответственно обойти режик не получиться: на доменном имени не пролезешь, а замена регистра файлов/папок приведет к тому, что веб-сервер ответит об отсутствии файла
Соответственно обойти режик не получиться: на доменном имени не пролезешь, а замена регистра файлов/папок приведет к тому, что веб-сервер ответит об отсутствии файла
Добавлено: Вт авг 24, 2004 12:19
Да, похоже именно так, действительно они домен опускают вниз.
telnet-ом пробовал напрямую в squid - squid опустил.
А файл не найдётся, это только если сервер на основе UNIX. Да и то не всякий. Для MS систем регистр может быть хоть вперемешку.
Поэтому, если кто-то укажет файл .Mp3 вместо .mp3, то у него всё получится, а админ останется в дураках.
У меня просьба:
1. Реально все запрошенные урлы (передаваемые режику из сквида) переводить в нижний регистр перед сравнением? А все правила, разумеется, обязуемся писать в нижнем!
2. При make-cache проверять все правила из urls и, на всякий случай, их тоже в нижний регистр переводить?
Буду очень благодарен, если эта фича будет. Готов её оттестровать на своих пользователях.
telnet-ом пробовал напрямую в squid - squid опустил.
А файл не найдётся, это только если сервер на основе UNIX. Да и то не всякий. Для MS систем регистр может быть хоть вперемешку.
Поэтому, если кто-то укажет файл .Mp3 вместо .mp3, то у него всё получится, а админ останется в дураках.
У меня просьба:
1. Реально все запрошенные урлы (передаваемые режику из сквида) переводить в нижний регистр перед сравнением? А все правила, разумеется, обязуемся писать в нижнем!
2. При make-cache проверять все правила из urls и, на всякий случай, их тоже в нижний регистр переводить?
Буду очень благодарен, если эта фича будет. Готов её оттестровать на своих пользователях.
Добавлено: Вт авг 24, 2004 12:45
Когда-то так и сделал, но всплыли проблемы, связанные с такой переделкой регистра.
Надо подумать...
Надо подумать...