Доступ к файлам через fopen - Безопасность сайтов на Joomla

привет друзья!

возможно мой вопрос покажется вам несколько необычным в этом разделе, но он хоть и не относится к взлому сайтов, но относится к защите информации как таковой. скажите, как можно реализовать следующее: у меня на сайте есть текстовые файлы, содержимое которых считывается через fopen($my_url, "r") с других сайтов. есть список разрешенных сайтов, т.е. сайтов, которые имеют доступ к этой информации. возможно ли как то при обращении к файлу (или к скрипту, который отдает этот файл) проверять с какого сайта поступил запрос? т.е. показывать содержимое файла только если сайт, который ее запросил, есть в списке разрешенных? а если его нет, или просто допустим в браузере открыли эту ссылку, то чтобы показывался другой текст. HTTP_REFERER не подходит, ибо он пуст.

спасибо заранее за ответы

ПС если все таки раздел выбрал не верно, прошу модераторов перенести тему в соответствующий (желательно не в свалку )

через .htaccess
положить в папку с файлом и настроить по IP

не совсем то. может быть такое, что на одном айпи находятся несколько сайтов, и для одних доступ открыт, для других нет.

вот как пример я могу привести проверку обновлений такого известного компонента как Acymailing.
При проверке обновления он запрашивает XML по адресу http://www.acyba.com/component/updateme/updatexml/component-acymailing/level-Enterprise/file-extension.xml
и если лицензии нет для домена, с которого идет запрос, то XML не содержит данных для обновления. вот можете сами попробовать открыть например в браузере просто ссылку. Будет Error licence invalid. Вот как такое реализовано?

Ну по ссылке видно что раздача идёт не напрямую.

Без SEF будет что-то вроде ...?option=com_updateme&task=updatexml&...

Без SEF будет что-то вроде ...?option=com_updateme&task=updatexml&...

угу, это понятно. вопрос в том, что проверяется в этом скрипте? я не могу понять, как к ним попадает имя сайта, с которого запрашивается информация (xml, или как в данном случае, скрипт который его отдает)

что ребят, никто не знает? SDKiller, вы не? просто голову себе сломал, как же такое реализовать то

я не могу понять, как к ним попадает имя сайта, с которого запрашивается информация (xml, или как в данном случае, скрипт который его отдает)

Вполне может быть, что скрипт, обращающийся к файлу XML, САМ передаёт данные о своей лицензии (или имя хоста $_SERVER['HTTP_HOST'] или $_SERVER['SERVER_NAME']).  Вместе с проверкой IP может быть нормальной защитой от школьников.

хм, ну как вариант конечно, но скрипт не передает никаких данных о домене. вызов происходит грубо говоря именно так:

fopen('http://www.acyba.com/component/updateme/updatexml/component-acymailing/level-Enterprise/file-extension.xml')

т.е. в строке не содежится сведений о домене. просто если их передавать get-параметром например, то это будет очень легко подделать, зная любой доверенный домен. не хотелось бы идти этим путем

Кроме GET'a есть ещё POST, куки и сессии. Хотя, конечно, подделать можно всё - вопрос только в том, стоит ли овчинка выделки. Но я не думаю, что здесь идёт речь о государственной (или хотя бы банковской) тайне.

ну вот при чем тут гет, пост, куки и сессия? тут дело даже не в подделке. есть вполне конкретный рабочий пример - проверка обновления Acymailing. НИКАКИХ сведений о домене, на котором она установлена, в явном виде не передается. доступ к скрипту, который отдает XML как я уже писал выглядит так: fopen('http://www.acyba.com/component/updateme/updatexml/component-acymailing/level-Enterprise/file-extension.xml')

Вопрос: как на стороне сервера узнают, с какого домена пришел запрос? Как это возможно?

ну вот при чем тут гет, пост, куки и сессия?

Притом, что GET - не единственный способ передать информацию в скрипт. Туда же можно добавить и любые данные, передаваемые в request headers.
По-моему ты зря горячишься. Решение не лежит "на поверхности".

НИКАКИХ сведений о домене, на котором она установлена, в явном виде не передается.

На чём основана такая уверенность? Да, GET-запроса в строке нет. А что насчёт остальных перечисленных способов? Request Headers смотрел?
Но даже если данные авторизации отправляет не твой браузер, это ещё ни о чём не говорит. HTTP-клиент может быть реализован на php и лежать на твоём хосте "внутри" Acymailing (я с этим компонентом не знаком).

доступ к скрипту, который отдает XML как я уже писал выглядит так: fopen('http://www.acyba.com/component/updateme/updatexml/component-acymailing/level-Enterprise/file-extension.xml')

Мне кажется, что это не единственная строка скрипта. Запрос к xml-файлу может уходить уже после того, как прошла авторизация (например, тебе поставили куки или открыли сессию).

Вопрос: как на стороне сервера узнают, с какого домена пришел запрос

Откуда уверенность, что определяется именно домен? Пробовал с другого домена на этом же IP - и не работало?

Я рассуждаю так:
1. Согласно протоколу http (в твоей строке fopen() использует его) инициатором обмена клиент-сервер всегда является клиент, который отправляет серверу определённый запрос.
2. Сервер располагает только той информацией о клиенте, которую сам клиент прислал в запросе.
3. Если серверу нужна дополнительная информация - он должен её запросить, а клиент - ответить.
Других вариантов для http я не знаю.

У меня остаётся вопрос:

у меня на сайте есть текстовые файлы, содержимое которых считывается через fopen($my_url, "r") с других сайтов

Скрипт, который считывает файл функцией fopen(), пишешь ты сам (как и в случае с Acymailing)?
Если не пишешь и вариант с ограничением по IP не подходит - в http я вижу только вариант с доступом по паролю Apache (либо переходить на ftp/https с их авторизацией).
Если категорически ничего передавать в скрипт и паролить не хочешь - я замолкаю.
Если можешь и хочешь передавать в скрипт данные лицензии - тебе в помощь GET, POST, куки и сессии.

SDKiller, спасибо, поизучаю

WebDisaster, не горячусь. если так показалось, прошу прощения. видимо изначально Неправильно выразился

Скрипт, который считывает файл функцией fopen(), пишешь ты сам (как и в случае с Acymailing)?

это не я пишу. это проверка обновления компонентов Joomla.

[вложение удалено Администратором]

не я пишу. это проверка обновления компонентов Joomla.

Ты меня не понял. Твои файлы, которые та раздаёшь другим хостам, на этих хостах будет считывать скрипт, написанный тобой (вариант 1)? Или ты только говоришь: вот вам файл - и тяните его как хотите своими методами (вариант 2)? В случае с Acymailing мы имеем вариант №1 - лицензионную информацию передать можно более-менее скрыто. В случае 2 что-то прятать бессмысленно - напрашивается GET.

да, видимо не понял. я думал вы говорите о стороне, на которой запрашивается файл. а так Вариант 1 меня полностью устраивает. т.е. запрашивается скрипт, который отдает файл. и этот скрипт уже должен проверить домен, с которого идет запрос.

насколько я пока понял, ключевой фразой является

3. Если серверу нужна дополнительная информация - он должен её запросить, а клиент - ответить.

вот тока не пойму пока как это реализовать.

в любом случае спасбо за ответы. надо время чтобы вникнуть. если вы не против, беру таймаут на изучение того что вы написали. и если потом возникнут вопросы, буду очень рад, если вы на них сможете ответить

хм.. вот щас вот еще раз прочел #13, и видимо опять не понял

Твои файлы, которые та раздаёшь другим хостам, на этих хостах будет считывать скрипт, написанный тобой (вариант 1)?

и

В случае с Acymailing мы имеем вариант №1

мы не имее в случае Acymailing Вариант №1. Acymailing обновляется через стандратный апдейтер Joomla. Т.е. не они пишут скрипт, который запрашивает XML с обновлениями. И ничего добавить они к передаваемым данным в теории не могут (ну кроме как get, чего бы не хотелось использовать). Или могут?

Давай порассуждаем. Если на раздающем и принимающем сервере работают твои скрипты, тогда

1. "принимающий" скрипт может получить $_SERVER['SERVER_NAME'] "принимающего" хоста. Сабмит данных в "раздающий" скрипт можно сделать или в скрытом поле какой-то формы или скрыто отправить форму JavaScript'ом по какому-то событию (onLoad/onClick хотя бы).
2. "раздающий" скрипт проверяет соответствие SERVER_NAME списку разрешённых и отправляя страницу ответа ставит куки (открывает сессию).
3. "принимающий" скрипт запрашивает файл обновления, одновременно отправляя куки.
4. "раздающий" скрипт отдаёт файл только тем, кто подтвердил свои права.

Если на раздающем и принимающем сервере работают твои скрипты

Вот я ж еще раз говорю: мой скрипт только раздающий. Принимающий, он же запрашивающий файл - это стандартный апдейтер Joomla
/administrator/index.php?option=com_installer&view=update
т.е. я могу что угодно делать на стороне отдающей файл. и ничего не могу делать на стороне, запрашивающей файл

Я плохо понимаю архитектуру этого приложения. Если это Joomla и тянет она к себе обычные текстовые файлы - что она с ними будет делать дальше? Если этот текст дальше попадает в твой же скрипт - на него можно "повесить" передачу нужной информации.

Если на принимающей стороне ничего твоего нет - кроме как запаролить директорию или ограничивать доступ по IP ничего в голову не приходит.

какого приложения? апдейтера Joomla? Joomla по запросу проверки обновлений просматривает сервера обновлений по адресам из поля `location` таблицы `#__update_sites`. адреса - это ссылки на XML, который содержит инфрмацию об обновлении компонента, модуля, плагина и т.д.
вот так например выглядит адрес XML с информацией о обновлении компонента К2: http://getk2.org/update.xml
и содержит он (xml, который отдается назад в жумлу) помимо всего прочего вот это:
т.е. путь к установочному файлу для апдейта. и если нажать Обновить, то Joomla образно говоря запустит стандартный установщик и установит этот файл.

путь к XML компонента Acymailing выглядит так: http://www.acyba.com/component/updateme/updatexml/component-acymailing/level-Enterprise/file-extension.xml . И в downloadurl он содержит не путь к файлу, а пустое значение.
Потому что домен, с которого запрашивается XML не содержится в базе разрешенных доменов для обновления. Иными словами лицензии на этот домен нет.

какого приложения?

Того приложения, которое будет работать с полученными у тебя текстовыми файлами. Это текст ведь должен потом куда-то попасть?

какая разница куда он будет попадать? важно то, что он должен быть разным, в зависимости от того, кто его запросил. точно также как и разные XML для обновления.

1. "принимающий" скрипт может получить $_SERVER['SERVER_NAME'] "принимающего" хоста. Сабмит данных в "раздающий" скрипт можно сделать или в скрытом поле какой-то формы или скрыто отправить форму JavaScript'ом по какому-то событию (onLoad/onClick хотя бы).

это не подходит по причине того, что ни чем по сути не отличается от get и элементарно подделывается.
далее достаточно шага 2 - никакого дальнейшего обмена не нужно. просто отдать или информацию А или информацию Б

Мы снова возвращаемся к ограничениям http. Из запроса клиента невозможно получить никакой информации кроме той, которую он сам отправил. Значит нужно либо 1) заставить его отправить нужную информацию либо 2) довольствоваться тем, что есть.
А подделать можно всё, я уже об этом говорил. Просто факт авторизации можно "замаскировать" так, чтобы он как авторизация не выглядел - ломать будет сложнее.

Вобщем, я всё сказал.