| Autor | Zpráva | ||
|---|---|---|---|
| ychtyl Profil |
#1 · Zasláno: 23. 10. 2017, 14:37:03
zdravím,
potřeboval bych v htaccessu omezit přístup ke konkrétnímu souboru pro Google Merchant, napadá mě udělat to pomocí user-agenta, ale jakého user agenta má google merchant? díky |
||
| Keeehi Profil |
#2 · Zasláno: 23. 10. 2017, 14:45:28
To ale přece není žádná ochrana. Kdokoli si může nastavit stejného useragenta jako používá Google Merchant.
|
||
| Bubák Profil |
Možná ti pomůže tohle: support.google.com/merchants/answer/6101165?hl=cs
|
||
| ychtyl Profil |
#4 · Zasláno: 24. 10. 2017, 11:15:36
jak ale jinak ochránit data ve feedu pro google, aby se k nim dostal pouze google?
|
||
| Keeehi Profil |
#5 · Zasláno: 24. 10. 2017, 13:00:19
ychtyl:
Nejlepší by bylo je šifrovat. Ovšem to by musel podporovat i google. Takže jako nejrozumnější se mi jeví využít nahrání souboru na Google Cloud Storage. Google si tedy soubor nebude stahovat ale ty mu ho budeš nahrávat. Na Google Cloud Storage se dá vytvořit bezpečné spojení. Bude to mít taky výhodu v tom, že mu můžeš data nahrát, jen když se něco změní a on si nebude muset pořád stahovat soubory, které budou stejné jako ty předchozí. Jinak pokud by jsi to chtěl mít ve formě feedu, tak by asi stačilo to mít na https a soubor dostupný na nějaké náhodné, dostatečně dlouhé url. Něco jako https://exmple.com/feed/e654rtvtREgtser6gtEtgv54sgevSE64erfvERfev454erfvERvERvervsaer5v4vedvErv.xml
Z hlediska bezpečnosti to bude něco jako soubor zašifrovaný symetrickou šifrou kde klíčem je ta náhodná část v URL adrese. Jelikož je to na https, tak v požadavku bude ten "klíč" zašifrován, takže ho nikdo nemůže odposlechnout. Problémem tohoto přístupu může být to, že standardně se nepočítá s tím, že by v URL adrese nějaký bezpečnostní klíč byl a proto se k adrese nemusí chovat dostatečně bezpečně. Samozřejmě k tomu můžeš přidat i to omezení podle user-agenta. Ovšem pokud se útočník bude chtít co nejvíce podobat googlu, tak to nejspíš vyzkouší. Dobré by bylo taky přidat povolené IP adresy ale to zrovna u googlu moc dobře dělat nejde. No a na závěr úvaha - Proč ten přenos ke googlu není zabezpečen? Vždyť přece bezpečnost by měla google zajímat. No, ona taky zajímá. Ale to co přenášíte jsou veřejně dostupná data. Každý člověk si může projít daný eshop, vyžrat si potřebná data a z nich si sestavit úplně stejný soubor, jaký budeš předávat googlu. Je tedy naprosto zbytečné zajistit oprávněnost přístupu ke zdroji dat a proto to ani google nedělá. |
||
| ychtyl Profil |
dík
ta úvaha na konci mě taky napadla, ale jde právě o to, aby někdo nemohl rychle a na jednom místě získat třeba popisy produktů atd. |
||
| Keeehi Profil |
#7 · Zasláno: 24. 10. 2017, 15:23:29
ychtyl:
„aby někdo nemohl rychle a na jednom místě získat třeba popisy produktů atd“ Pak úplně stačí náhodná url. A když na to někdo přijde? Tak ji prostě změníš. |
||
|
Časová prodleva: 8 let
|
|||
0