Est-il possible de mettre les données d'image binaire dans le balisage html et ensuite obtenir l'image affichée comme d'habitude dans n'importe quel navigateur?

C'est un problème de sécurité important et je suis sûr que cela doit être possible.

Un exemple simple:

Vous exécutez un portail communautaire. Les utilisateurs sont enregistrés et télécharger leurs photos.
Votre application vous donne les règles de sécurité à chaque fois qu'une image est autorisé à être affiché. Par exemple, les utilisateurs doivent être des amis sur chaque côtés par le système, afin que vous pouvez voir quelqu'un d'autre photos téléchargées.

Voici le problème: il est possible que quelqu'un qui analyse l'image des répertoires de votre serveur. Mais vous voulez protéger vos utilisateurs contre de telles attaques.

Si il est possible de mettre les données binaires d'une image directement dans les balises HTML, vous pouvez restreindre l'accès de l'utilisateur, de votre image dirs à l'utilisateur et de groupe de votre application web s'exécute et transférer les données d'image de votre Apache d'utilisateur et de groupe directement dans le HTML.

La seule faiblesse est alors le mot de passe de l'utilisateur de votre application web s'exécute.

Il y a déjà une possibilité?

  • il y a un moyen comme la mise en cache des images shortwise dans le public dir du serveur, mais que ferait-il cher.
InformationsquelleAutor Joern Akkermann | 2010-03-12
  1. 80

    Il y a d'autres (mieux) manières, décrites dans d'autres réponses, pour sécuriser vos fichiers, mais oui, il est possible d'insérer l'image dans votre code html.

    Utiliser le <img> balise de cette façon:

    <img src="data:image/gif;base64,xxxxxxxxxxxxx...">

    Où la xxxxx... partie est un encodage base64 de gif les données de l'image.

    • donc xxxxxxxxxx est pour le to_blob/lire/to_binary commande / pour les données binaires de l'image? et doit-il y avoir un "=" à la fin?
    • Vous devrez convertir vos données binaires à l'encodage base64. Le résultat est une chaîne de caractères imprimables qui se terminent généralement par 1 ou 2 "=" symboles, selon le base64 spec. Vous aurez besoin de remplacer le xxx avec cette chaîne, le tout sur une seule ligne.
    • ouais super ça fonctionne 🙂 ... mais malheureusement il ne fonctionne pas dans internet explorer...
    • J'ai lancé IE tests toujours avec la version standard est livré avec Windows XP, je pense encore beaucoup de gens l'utilisent...
    • Certains anciens navigateurs (IE7-IE9) ont limitations
    • Je ne sais pas comment je suis tombé sur cette vieille question/réponse, mais il est important de noter que ce n'est pas binaire comme le OP mentionné. C'est en base64 codage ASCII. La source était à l'origine binaire.
    • Trouvé cette conversation, parce que je cherchais la même chose. La solution de @bmb fonctionne tout simplement génial! Merci.
    • Convient de mentionner qu'ils sont appelés de données url

    InformationsquelleAutor bmb
  2. 11

    Si j'avais besoin de sécurité sur mon répertoire d'images je ne voudrais pas exposer le répertoire à tous. Au lieu de cela ma img src attributs de référence une page qui permettrait de prendre un nom d'utilisateur et un identifiant de l'image en tant que paramètre.

    La page de valider que l'utilisateur a en effet d'avoir accès à de voir cette image. Si tout est bon, envoyer le binaire en arrière. Sinon, envoyez rien.

    par exemple:

    <img src="imgaccess.php?userid=1111&imgid=223423" />

    Aussi, je ne voudrais pas utiliser deviner id. Au lieu de coller à quelque chose comme base 64 codé guid.

    • +1, bonne réponse, mais si votre code valide l'accès de l'utilisateur, doit-il si les Identifiants sont deviner?
    • +1 Qu'en penses-faire .htaccess de la magie et de la sortie de quelque chose comme <code>src="userid-utilisateur/image/"</code>, et, en les traitant comme un répertoire, de le verrouiller ou le déverrouiller sur une base par utilisateur?
    • mais ensuite, j'ai des données binaires dans le répertoire src="" partie. et je voudrais prendre le nom d'utilisateur de la session en cours, c'est plus sûr.
    • Il ne serait pas beaucoup d'importance sur le fichier id. Cependant, il serait id de membre du.
    • Cela semble être une approche intéressante. Je ne suis pas trop familier avec linux côté des choses, il est donc difficile de faire des commentaires.
    • Akkermann: je ne suis pas sûr de savoir pourquoi vous auriez des données binaires dans le répertoire src de la partie... Toutefois, en prenant le nom d'utilisateur de la session est une approche valable. J'ai tendance à rester à l'écart de toutes les variables de session moi-même qui est pourquoi j'ai dit de mettre le nom d'utilisateur dans le répertoire src de la balise.
    • Je suis surpris qu'il a été si longtemps et personne ne vous a dit que vous présenter une vulnérabilité de sécurité locales d'inclusion de fichier lorsque vous utilisez PHP dans ce manoir. Cela peut mener à une distance l'exécution de code à exploiter.

    InformationsquelleAutor NotMe
  3. 3

    Je ne suis pas sûr de comprendre, mais voilà. Au lieu de servir des images statiques qui résident dans un dossier d'images - pourquoi ne pourriez-vous pas, à l'aide de votre côté serveur de la technologie de choix, les images de façon dynamique envoyés au client? De cette façon, votre code côté serveur peut obtenir dans le mélange et autoriser ou refuser l'accès par programmation?

    <img src="/images/getImage.aspx?id=123353 />
    InformationsquelleAutor Eric
  4. 1

    Vous pouvez déplacer les images de la racine du document dans un répertoire privé et de les livrer par le biais de votre application, qui a accès à ce répertoire. Chaque fois que votre application génère une balise d'image, il génère également une courte émission de jeton de sécurité qui doit être spécifié lors de l'accès à une image particulière:

    <img src="/app/getImage.xyz?image=12345&token=12a342e32b321" />

    Les Chances sont très rare que quelqu'un aura la force brute, le bon jeton au bon moment avec l'image de droite.
    Il y a au moins de possibilités de vérifier le jeton dans "getImage":

    1. Suivi de toutes les balises d'image dans votre application et de stocker les enregistrements dans une base de données dont le lien généré de façon aléatoire, des jetons et de l'image de l'IDs à la demande des utilisateurs. Le "getImage" action vérifie les paramètres fournis à l'encontre de cette base de données.
    2. Générer le jeton comme une somme de contrôle (MD5, CRC, peu importe) sur l'ID de l'utilisateur, l'ID de l'image et peut-être le jour courant de l'année, et assurez-vous de mélanger dans un impossible à deviner le sel. Le "getImage" action sera ensuite recalculer le checksum et de la comparer à celui spécifié dans le but de vérifier l'accès de l'utilisateur. Cette méthode va produire moins de frais généraux que le premier.

    PHP exemple:

    $token = md5($_SESSION['user_id'].' '.$imageID.' '.$SECRET_SALT.' '.date('z'));
    • La pensée de ce fil, je trouve que c'est plus facile d'appliquer les contraintes d'accès du référencement de la page HTML à la "getImage" action comme quelqu'un l'a écrit ci-dessus. Néanmoins, la somme de contrôle méthode peut réduire l'impact sur les performances, car il n'a pas accès à toutes les ressources externes pour vérifier la demande.
    • Merci pour cette. Je n'avais pas réalisé que je pouvais tout simplement analyser une requête de paramètre nom de jeton sur mon Express server middleware où j'ai vérifié si l'utilisateur a été authentifié avec leur jeton... C'est beaucoup plus propre que d'avoir besoin d'effectuer explicite d'une requête GET, puis essayer de comprendre comment charger correctement les données d'image binaire dans la balise HTML img.... Cette façon de faire ressemble plus à une bonne API / comme la façon dont Google Maps demande aux utilisateurs de fournir un jeton d'accès, c'est à dire.
    InformationsquelleAutor the-banana-king
  5. 0

    Avec HTML5, vous pouvez utiliser la balise canvas et JavaScript pour faire cela.

    Vous pourriez peut-être faire quelque chose avec soit en CSS ou une présentation en tableau pour dessiner une image (sans doute vraiment de la mauvaise performance, de résolution, de portabilité).

    De toute façon, on n'arrête pas les gens de prendre des photos. Ils pourraient prendre une capture d'écran et de la culture de la sortir.

    Comme Chris l'a mentionné dans sa réponse, après avoir longtemps id d'image de sorte que l'URL de chaque image n'est pas facile à deviner ou à la force brute est important. Et aucune liste de répertoire sur votre serveur web à des répertoires est également.

    InformationsquelleAutor Sean A.O. Harney