Nový

Dynamický odkaz ke stažení s dobou platnosti a regenerovaným kódovaným odkazem při každé návštěvě ve veřejném režimu stahování

Předprodejní otázky týkající se WP File Download

Pátek, 19. července 2019

8 Odpovědi

3 tisíce návštěv

Ahoj,
potřebuji nějaké informace, než si koupím tento krásný plugin. My už používáme wp-filebase, ale nedávno jsme zjistili, že odkaz ke stažení není dostatečně zabezpečený, takže ostatní webové stránky používají hotlink a jejich návštěvníci stahují soubory z našeho serveru, aniž by navštívili náš web pomocí hotlinků. Máme web pro stahování freewarového softwaru a elektronických knih s více než 4000 soubory.
Moje otázky jsou:
1. Je možné vygenerovat dynamický odkaz ke stažení (uvnitř tlačítka ke stažení) s časovým limitem platnosti? Takže můžu nastavit čas platnosti například na 24 hodin a po 24 hodinách by odkaz byl nefunkční a automaticky by se vygeneroval nový unikátní odkaz ke stažení, když na něj návštěvník klikne.

2. Všechny soubory jsou na našem webu veřejné, takže tlačítko ke stažení by bylo veřejně viditelné, jako je filehippo.com. Jediný možný způsob, jak zabezpečit odkaz ke stažení, je vytvořit ho jako dynamický odkaz kódovaný hashtagem pomocí base64 nebo jiných kodérů, jako je sha256, a nastavit čas platnosti, jak je uvedeno v první otázce. Moje otázka zní, jak je odkaz ke stažení zabezpečen uvnitř tlačítka? Nebo již máte tyto funkce pro ochranu hotlinku ke stažení ve veřejném zobrazení?

Předem děkuji a těším se na vaši odpověď.

Přeji hezký den!
Saki

Pomoc

před 6 lety

#12346

Ahoj,

Děkujeme, že jste nás kontaktovali ohledně tohoto rozšíření.

1. Je možné vygenerovat dynamický odkaz ke stažení (uvnitř tlačítka pro stažení) s časovou platností? Takže můžu nastavit čas platnosti například na 24 hodin. Po 24 hodinách by odkaz byl neaktivní a automaticky by se vygeneroval nový unikátní odkaz ke stažení, když by kterýkoli návštěvník klikl na stažení.

Náš plugin neobsahuje možnost nastavení platného času pro URL.

2. Všechny soubory jsou na našich webových stránkách veřejné, takže tlačítko pro stažení by mělo být veřejně viditelné, podobně jako na filehippo.com. Jediný možný způsob, jak zabezpečit odkaz ke stažení, je vytvořit jej jako dynamický odkaz kódovaný pomocí hashtagu s použitím base64 nebo jiných kodérů, jako je sha256, a nastavit dobu platnosti, jak je uvedeno v první otázce. Moje otázka zní: jak je odkaz ke stažení uvnitř tlačítka zabezpečen? Nebo již máte tyto funkce pro ochranu odkazu ke stažení ve veřejném zobrazení?

Nejsem si jistý technikou v této funkci, ale dalo by se říci, že uživatelé si mohou soubor stáhnout pouze tehdy, pokud k tomu mají oprávnění.
To znamená, že uživatelé si nemohou soubor stáhnout, pokud znají URL adresu a nemají k tomu oprávnění. Platí to pro registrované uživatele.

Mimochodem, funkce „Ochrana heslem“ má být vydána ve verzi 5.1, aby zabezpečila soubory a kategorie ve veřejném zobrazení.

Doufám, že to pomůže!
Na zdraví,

damien @ joomunited

před 6 lety

#12347

Ahoj,

Není to přímo součástí našeho pluginu, ale je docela snadné tuto funkci přidat:
Stačí přidat těchto pár řádků do souboru šablony functions.php a máte funkci pro hotlinking:



add_action('wpfd_file_download', function(){

	if (empty($_SERVER['HTTP_REFERER']) || strpos($_SERVER['HTTP_REFERER'], "https://yourwebsiteyurl.com/") !==0){

		die("hotlinking prohibited");

	}

});

S pozdravem

saki

před 6 lety

#12348

Děkuji za rychlou odpověď.
Bohužel kód funguje pouze na mém webu, ne na webu útočníka.

Je možné přidat tyto funkce, které jsem popsal? Za tuto funkci bych zaplatil příplatek. Můžete se podívat na tyto dva odkazy:
1. https://codecanyon.net/item/wp-one-time-file-download-unique-link-generator-wordpress-plugin/21871469 ?
2. https://www.codexworld.com/generate-one-time-download-link-with-expiration-php /

První je stejný plugin, který hledám, ale neumí dávkové soubory a druhý je zdrojový kód, také se stejnými problémy, lze jej použít pro jeden soubor s ruční změnou cesty a názvu souboru.
Ještě jednou děkuji,
Saki

damien @ joomunited

před 6 lety

#12349

Bohužel kód funguje pouze uvnitř mého webu, nikoli pro web útočníka.

Co tím myslíš?

Pokud jiný web vloží odkaz na váš soubor na svůj web, nebude si ho moci stáhnout přímo (všechny mají zprávu „hotlinking zakázán“).
Tento kód zajišťuje, že návštěvník požádal o stažení souboru z jedné ze stránek vašeho webu.

damien @ joomunited

před 6 lety

#12350

Samozřejmě budete muset nahradit „ https://www.filehipo.com/ “ základní adresou URL vaší webové stránky.
Aktualizoval jsem svou první odpověď, aby byla v tomto bodě srozumitelnější.

saki

před 6 lety

#12351

Kód jsem implementoval takto:
add_action('wpfd_file_download', function(){
if (empty($_SERVER['HTTP_REFERER']) || strpos($_SERVER['HTTP_REFERER'], " https://mywebsite.com /"

!==0){
die("hotlinking prohibited"

;
}
});

tlačítko pro stažení s unikátním statickým odkazem se na mém webu stane nefunkčním. Mimo web hotlink ale funguje. Předpokládejme, že hotlink je: https://website.com/wpfb_dl=121 (vygenerovaný pluginem wp filebase). Myslím, že se jedná o chybu pluginu od filebase, takže jsme se rozhodli koupit nový nebo najmout vývojáře, aby naše problémy vyřešil.

saki

před 6 lety

#12352

Kód jsem implementoval takto:
add_action('wpfd_file_download', function(){

	if (empty($_SERVER['HTTP_REFERER']) || strpos($_SERVER['HTTP_REFERER'], "https://mywebsite.com/") !==0){

		die("hotlinking prohibited");

	}

});
Pak tlačítko pro stažení s unikátním statickým odkazem uvnitř mého webu přestane fungovat. Ale mimo web hotlink funguje. Předpokládejme, že hotlink je: https://website.com/wpfb_dl=121 (generováno pluginem wp filebase). Myslím, že se jedná o chybu pluginu z filebase, takže jsme se rozhodli koupit nový nebo najmout vývojáře, aby naše problémy vyřešil.

damien @ joomunited

před 6 lety

#12353

Tento hook je dostupný pouze v WP File Download , nevím, jak funguje u jiných pluginů.
Proto selže s WP File Base

strana:
1

Na tento příspěvek zatím nebyly učiněny žádné odpovědi.