2

目标:从网站(普通主机)下载档案。用户必须对网站上的下载、连接、文件存储一无所知。

我使用 idHTTP+SSL 下载档案。但是用户可以访问网站 -> 我可以设置基本身份验证,但用户可以看到用户名/密码,例如在 HTTP 分析器中。

程序下载带有设置的文件。设置采用纯文本形式。该文本也可以在 HTTP Analyzer 中看到。

我可以加密这个文本但是档案呢?我需要一次保护一切。

因此,我不希望该用户可以看到档案和设置文件的网址。它可以粘贴在网络浏览器中 -> 请下载所有内容...

如何预防所有这些?

谢谢!!!!!!!!

4

1 回答 1

5

我假设“普通托管”是指通常的 PHP/Perl 托管站点,您不能真正运行任意软件或进行重大的站点配置更改。我会采取以下步骤:

  • 将存档和“文本文件”所在的文件夹配置为仅接受 HTTPS 连接,然后确保您仅使用 HTTPS 进行连接:“HTTP 分析器”(或任何分析器)将不再能够看到您的流量。
  • 给您的存档命名(GUID?),因此用户无法直接在浏览器中输入文件名并下载它。您需要使用您的 TXT 文件将实际文件名“映射”到 GUID。
  • 对于额外的点,将“TXT”文件替换为在提供实际数据之前验证您的应用程序的脚本。即使是当前日期和时间的简单加盐哈希也足以阻止大多数用户。

当然,我希望这个问题能够与其他问题一起跟进,有些是关于 ServerFault 的,有些是关于 SO 的:

  • 如何使用 [命名您的服务器软件] 阻止对文件夹的普通 HTTP 访问
  • 如何验证我的应用程序,使普通浏览器无法下载我的 TXT 文件。
于 2011-07-14T06:10:00.387 回答