Autor Zpráva
ychtyl
Profil
zdravím,
potřeboval bych v htaccessu omezit přístup ke konkrétnímu souboru pro Google Merchant, napadá mě udělat to pomocí user-agenta, ale jakého user agenta má google merchant?
díky
Keeehi
Profil
To ale přece není žádná ochrana. Kdokoli si může nastavit stejného useragenta jako používá Google Merchant.
Bubák
Profil
Možná ti pomůže tohle: support.google.com/merchants/answer/6101165?hl=cs
ychtyl
Profil
jak ale jinak ochránit data ve feedu pro google, aby se k nim dostal pouze google?
Keeehi
Profil
ychtyl:
Nejlepší by bylo je šifrovat. Ovšem to by musel podporovat i google. Takže jako nejrozumnější se mi jeví využít nahrání souboru na Google Cloud Storage. Google si tedy soubor nebude stahovat ale ty mu ho budeš nahrávat. Na Google Cloud Storage se dá vytvořit bezpečné spojení. Bude to mít taky výhodu v tom, že mu můžeš data nahrát, jen když se něco změní a on si nebude muset pořád stahovat soubory, které budou stejné jako ty předchozí.

Jinak pokud by jsi to chtěl mít ve formě feedu, tak by asi stačilo to mít na https a soubor dostupný na nějaké náhodné, dostatečně dlouhé url. Něco jako https://exmple.com/feed/e654rtvtREgtser6gtEtgv54sgevSE64erfvERfev454erfvERvERvervsaer5v4vedvErv.xml
Z hlediska bezpečnosti to bude něco jako soubor zašifrovaný symetrickou šifrou kde klíčem je ta náhodná část v URL adrese. Jelikož je to na https, tak v požadavku bude ten "klíč" zašifrován, takže ho nikdo nemůže odposlechnout. Problémem tohoto přístupu může být to, že standardně se nepočítá s tím, že by v URL adrese nějaký bezpečnostní klíč byl a proto se k adrese nemusí chovat dostatečně bezpečně. Samozřejmě k tomu můžeš přidat i to omezení podle user-agenta. Ovšem pokud se útočník bude chtít co nejvíce podobat googlu, tak to nejspíš vyzkouší. Dobré by bylo taky přidat povolené IP adresy ale to zrovna u googlu moc dobře dělat nejde.

No a na závěr úvaha - Proč ten přenos ke googlu není zabezpečen? Vždyť přece bezpečnost by měla google zajímat. No, ona taky zajímá. Ale to co přenášíte jsou veřejně dostupná data. Každý člověk si může projít daný eshop, vyžrat si potřebná data a z nich si sestavit úplně stejný soubor, jaký budeš předávat googlu. Je tedy naprosto zbytečné zajistit oprávněnost přístupu ke zdroji dat a proto to ani google nedělá.
ychtyl
Profil
dík


ta úvaha na konci mě taky napadla, ale jde právě o to, aby někdo nemohl rychle a na jednom místě získat třeba popisy produktů atd.
Keeehi
Profil
ychtyl:
aby někdo nemohl rychle a na jednom místě získat třeba popisy produktů atd
Pak úplně stačí náhodná url. A když na to někdo přijde? Tak ji prostě změníš.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: