德爾福：安全/加密從互聯網下載更新

Question

目標：從網站下載檔案（普通託管）。用戶必須對網站上的下載，連接和文件存儲一無所知。

我使用idHTTP + SSL下載檔案。但用戶可以訪問網站 - >我可以設置基本身份驗證，但用戶可以看到用戶名/密碼，例如在HTTP分析器中。

程序通過設置下載文件。設置是以純文本的形式。該文本也可以在HTTP分析器中看到。

我可以加密這個文本，但是檔案怎麼樣？我需要一次確保一切。

因此，我不希望該用戶可以看到歸檔和設置文件的網址。它可以粘貼在網頁瀏覽器 - >請下載一切...

如何防止所有這些？

謝謝!!!!!!!!

Answer 1

我認爲「普通託管」是指通常的PHP/Perl託管網站，您無法真正運行任意軟件或進行重大的站點式配置更改。我會採取以下步驟：

• 配置在您的檔案和「文本文件」駐留只接受HTTPS連接的文件夾，然後確保你只使用HTTPS連接：「HTTP分析儀」（或任何分析儀這件事）將不再能夠看到你的流量。
• 給你的檔案無意義的名字（GUID's？），所以用戶無法在瀏覽器中輸入文件名並下載它。您需要使用TXT文件將實際文件名映射到GUID。
• 要提供實際數據，請使用腳本替換「TXT」文件，該腳本對您的應用程序進行身份驗證。即使是當前日期和時間的簡單醃製散列也足以阻止大多數用戶。

當然，我期待與其他問題，一些在ServerFault，一些在這裏，所以要跟進這個問題：

• 如何使用[命名您的服務器來阻止到一個文件夾純HTTP訪問軟件]
• 如何驗證我的應用程序，以便普通瀏覽器無法下載我的TXT文件。