Нужен Антиличь, хороший Антиличь,, а то нет жизни.. Опции

[b00ste®]

Тащат многие, притом неразбираясь, что сам писал, что нет, притом не мелкие порталы, а одни из лидеров, одни помногу , другие покапельке в перемешку, но свои ошибки орфографические ведб легко узнать, поэтому нужен скрипт.. И не такой как в нюке, а что-то помощнее, как на ВЗОРе, или у КпНемо стоит. Не только чтоб ссылки не видно, но чтоб еще ниоткуда больше, как с указанной страницы непускал, а то если тута расшириться еще немного, и начать хранить у себя, то кранты будут.
Есть идеи где достать, или мож кто написать может?

[ako]

Сразу говорю - с проблемой знаком только поверхностно, но оно мне интересно. :-)

Как я понял ты хочеш закрыть доступ к сайту всякого рода скриптам скачивающим контент и потом использующим его?

Если так то имхо весьма не простая задача...

Варианты решения которые я вижу(самописные):

Конфиг сервера править можеш?
Можно придумать как с помощью апача привязку к рефереру.
Возможно структуру сайта менять придется. Хотя с другой стороны если делать структурировано и по рефереру -
1. Возможно потеряеш посетителей с поисковиков, ибо даже если сам поисковик будет кореректно работать с ним,
то уж у клиента пришедшего с поисковика там явно будет что-то от лукавого...
2. Помоему весьма просто подделать. Т.е. вычислить систему и пользоватся ей в тех же скриптах.
Здесь уже вопрос в том насколько интересны данные с твоего сайта.

Второй вариант без переконфигурирования сервера, но с применением PHP на каждой странице:
На части страниц к которым открыт "свободный" доступ при заходе клиента открываем сессию, для интереса и пущей
надежности там можно сохранить какие-нибуть данные типа сегодняшней даты или временного пароля
("полустатического" т.е. он должен меняться, но не слишком часто дабы доставлять как можно меньше неприятностей
посетителям оказавшимся на сайте во время его смены)
На "приватных" страницах - проверяем наличае сессии и данные в этой сессии ("пароль") если что-то не верно (нет сессии
или пароль не тот) - отсылаем на начальную страницу раздела/сайта.
Преимущества этого способа в том что мы добавляем некоторые динамические данные поддержку которых нагородить
несколько труднее чем просто реферера (который можно просто вычислить)
Минусы те же что и у предыдущего способа, за дополнением того что тут поисковикам придется еще более туго и если
реферер они еще теоретически могут поддерживать (не уверен, точно не знаю), то с сессиями им придется туговато.
Сессии разумеется должны основыватся на куках, а не на линках.

А можно оба способа скомбинировать. Причем каким нибуть извращенным способом. Навроде - в сессии вместо или
вместе с "паролем" держать то что должно приходить в поле referer, потом сравнивать с реальным реферером и
на основе этого делать выводы.

2All: Интересна критика идей... :-)

[Lav]

Привязка к рефереру самое лучшее и простое. Я так скоро у себя сделаю.
НО и это можно обойти. Попробуй яву...

[b00ste®]

ako
Немного за глубоко понял проблему...

Имелось ввиду не кража конфиденциальной информации, а всего лишь банальное тащение прог(линков) с сайта вместе с описанием.
Нащет описания, это не являеться проблемой, но вот когда линки на показе, то грех чего и "нетаскануть", а так если это длительно надо копаться, и тд, пока увидишь "настоящий" линк, то кому это надо, если навалом сайтов с неприкритыми линками, такими теперь у меня, или в крайнем случае с кнопочкой Скачать, что не составляет проблем перехватить.
Сам я, в "web"-програмировании неочень, больше игрался с Visual Studio и подобным, не затрагивая JAVA и прочие, поэтому что-то "скомбиновать" самому, будет затруднительно, вот я и спросил, может кто имеет/знает где/может написать скрипт, который повеситься на кнопочку Download, и только "ей будет отдавать файл", или на крайняк, просто по реферу...
Но как упомянул, подсказка направления решения проблемы, меня неочень спасет, нужноб было уже готовое решение...(в смысле написанный скрипт).

[ako]

b00ste®
Тоесть тебя интересуют не столько авторские права на описания, сколько то что на твой сайт дают прямые линки с различных порталов?

Тогда здесь можно обойтись скриптиком на download.
Переделать все ссылки вида files/file.rar на например download.php?file=file.rar

Сам скриптик будет довольно простым - его задача - брать файлик из отдельной директории закрытой с помощью например .httpacces и отдавать его клиенту предварительно проверив referer.
Так же не слишком трудно сделать чтобы оно отдавалось и с докачкой.

Как тебе такой вариант?

А насчет готового решения - сейчас попробую написать.
Сроки - вопрос свободного времени.

[b00ste®]

Нащет закрытой директории, это как раз то что надо, так как это защита от того, чтоб не брали с "не тем" рефером, а вот можно ли как-нибудь скрыть от "непросвещенных" пользователей, некопающихся с логах DL-manager'a, откуда качаеться файл, если он не находиться непосредственно у меня (dowload.php?file = file01.rar , но rar лежит например на макромедии).Такая фунция есть в phpNuke, но я самого начала начал пользоваться не тем модудем, а теперь уже поздно переходить обратно.

Сроки не беда, буду благодарен любой попытке помощи.

[ako]

Вобщем то вот скриптик.
Вызывается ссылкой вида "download.php?file=filename.ext", поддерживает докачку. Проверка - referer сверяется со строкой указанной в переменной "$referer", если быть точным, то с регекспом, посему там можно указать несколько строк через палку ("|") или придумать какое-нибуть сложное регулярное выражение...
Файлы отдаются только из директории указанной в переменной "$filepath" иначе можно на неприятности нарватся... доступ к этой директории думаю стоит наглухо закрыть через .htaccess чтобы нельзя было по прямым ссылкам качать, да и назвать ее стоит тоже как-нибуть мудрено.
При необходимости можно сделать несколько копий скриптика для разных директорий/разделов.

Работоспособность проверял закачкой регетом в пять потоков 400Mb RAR архива с
рядомстоящего сервера. Проверка после закачки сказала ОК, т.е. докачка
отрабатывает корректно.

Возможные проблемы: использованы переменные PHP "$GLOBALS[HTTP_REFERER]", "$HTTP_GET_VARS['file']" и "$HTTP_SERVER_VARS['HTTP_RANGE']". Есть некоторые сомнения в наличае этих переменных с этими же именами в разных версиях PHP... Возможно придется брать мануал к требуемой версии и править имена переменных.

Писалось все на коленке и нуждатеся в дополнительном тестировании (Возможно может быть неплохой дыркой в безопастности. Одну уже нашел и пофиксил..., так что как говорится "AS IS" т.е. ответственности за возможные неприятности не несу.
Используйте на свой страх и риск.


Любым отзывам и конструктивной критике буду только рад. :-)

Прикрепленные файлы

 download.php ( 1.69 килобайт ) Кол-во скачиваний: 16

 

[b00ste®]

Так получилось, что остался без сайта, но думаю за пару дней смогу уже потестить на новом хостинге, и новом портале......
Кстати, что именно прописываеться в .htaccess?
И как с анонимайзером, это можно написать "на коленке", или всетаки это уже серьезная работа? Пример того, что я понимаю под анонимайзером, высылаю в приват..

[ako]

b00ste®
Если во время тестирования выявятся какие-либо глюки - велкам в приват.

.htaccess для директории с файлами делается такого вида:
==============================
Order Deny, Allow
Deny from All
==============================
Что напрочь запрещает качать что-либо из этой директории.
В то же время скрипт к ней доступ имеет и может файлики через себя раздавать.

Насчет анонимайзера - не совсем понял идею. Но если это то что я думаю (т.е. качается с другого сайта и надо чтобы пользователь не знал откуда качается) то тут возникает ряд не разрешимых по моему мнению проблем.
Дело в том что раз ему надо качать из како-го то другого места то ему придется сказать об этом.
В PHP это можно сделать так:
<?
header("Location: http://some.site.com/some.file.rar");
?>
В браузере или в менеджере закачек он увидит ссылку вида
your.site.com/dl.php
но вот истинное положение файла ему всеравно передастся.
и в логе того же регета будут примерно такие строчки:
========================================
HEAD /redirect.php HTTP/1.0
Location: http://some.site.com/some.file.rar
Connection: close
Content-Type: text/html
Соединяемся с some.site.com (13.13.13.13:80)
HEAD /some.file.rar HTTP/1.0
Referer: http://some.site.com/
========================================
т.е. при желании узнать откуда на самом деле качается файл весьма просто.

Насчет ссылок вида http://your.site.com/dl.php?file=http://so...m/some.file.rar=>http://your.site.com/dl.php?file=http://some.site.com/some.file.rar - от такого достаточно легко избавится.
И свести эти ссылки к виду http://your.site.com/dl.php?file=4523
а на сайте держать какого либо рода базу с сопоставлением:
4523 --> http://some.site.com/some.file.rar

Реализовать все это не трудно. Но смысл в будет только в том что у тебя на сайте в открытом виде не будут валятся ссылки на то откуда в самом деле тянутся файлы.

Есть еще альтернативный способ. но он весьма извращенный.
И применять его стоит только если ты по каким то причинам не можеш хранить сами програмы на своем сайте и у тебя полностью не лимитированный трафик. Заключается он в том что скрипт будет работать как бы прокси сервером - скачивать файлик с исходного сайта и отдавать его клиенту. :-)


Если опять не то - описывай проблему подробнее. :-)

[b00ste®]

Траффик похоже будет не лимитируемым, но способ действительно извращенный

Обьясню причину сразу.
Изучая, откуда ко мне приходят посетители, часто видел, что с WebAlizer'a. Зайдя на который, видел что за последние сутки на сайт такой-то компании, найбольшее число обращений на закачку, шли именно от меня, а в свою очередь, они заходили ко (разработчики) мне и видели свою прогу с "плюсом". Получал даже письма, толи с иронией, толи действительно не поняли в чем дело, похожего сожержания "...ваш сайт являеться лидирующим в помощи распостранения нашей продукции, зарегистрируйтесь по этому адрессу как дилер и вы будете получать столько-то процент от продаж. С уважением разрабочик Window Washer.."
К чему это может привести, наверно не надо говорить, так вот именно надо подставлять рефера или пользоваться таким редирект-сайтом (который увы использует часто попапы и бывает не доступен) какого пример послал вам в приват. Смысл его тот, что вставляя ссылку типа
http://www.anonimizer.com?http://rasrabotc...k.com/proga.exe=>http://www.anonimizer.com?http://rasrabotchik.com/proga.exe,
там не видят, откуда пришел запрос на файл (рефера не видят), с помощью высланого примера, мне удавалось втыкать линки на narod.ru, и он выдавал файл без предупреждения, так как думал, что идет это с его сайта запрос.
Вот и вопрос, а можно ли как-то вызываться файл через скрипт, чтоб небыло видно рефера у тех, на кого стоит линк, это иногда также помогает обойти защиту скачивания только с этого сайта(как на народе например)..... Дело только в том, что нужен универсальный скрипт, а не каждый раз вставлять рефера, то есть просто /download.php?http://macromedia/dream.exe, и в логе макромедии будет что пришли с самой macromedia.com.

<?
header("Location: http://some.site.com/some.file.rar");
?>
То есть на каждый файл надо писать отдельный файлик загрузки?

И свести эти ссылки к виду http://your.site.com/dl.php?file=4523
а на сайте держать какого либо рода базу с сопоставлением:
4523 --> http://some.site.com/some.file.rar

А в каком виде эту базу держать (то есть как прописывать там 4321 = http://site.com/file.exe)? Или это уже надо делать через MySQL?

---
О том что полностью сделать чтоб не знал юзер, это известно что практически невозможно по этим протоколам, но я про то, что всеравно не видно в строке, и тем, кто тащит с сайта все подряд (к себе на сайты), всеравно будет лишней заботы копаться, смотреть и тд (ведь всегда можно найти цель полегче)

Сообщение отредактировал b00ste® - 19.09.2003 - 13:55

[ako]

b00ste®
Вобщем думаю.

Боюсь что получится что-то сильно браузерозависимое.
Тот урлик что ты кинул в ПМ - не переписывает поле реферер именем сайта на который идеш. Он в лучшем случае очищает его.
В худшем - там урлик этого сайта редиректора.
Завтра попробую слизать то что они сделали. Помоему там нет ничего сложного или экстраординарного. Но на мой взгляд это не шибко удобно.
Насчет реферера - он вообще не обязательное поле в http протоколе. И похоже браузерописатели извращаются с ним как могут. В ИЕ в частности оно подставляется по клику.
Проверял такую схемку:
сайт со ссылкой
редиректор1
редиректор2
редиректор3
целевой сайт.
Редиректоры в том виде который я приводил выше (через header).
В итоге на целевом сайте referer=сайт со ссылкой.
Ходя редиректоры находятся в совершенно разных доменах.

То есть на каждый файл надо писать отдельный файлик загрузки?

Нет. База (например MySql) где описывается что есть что и данные он будет брать оттуда.

О том что полностью сделать чтоб не знал юзер, это известно что практически невозможно по этим протоколам, но я про то, что всеравно не видно в строке, и тем, кто тащит с сайта все подряд (к себе на сайты), всеравно будет лишней заботы копаться, смотреть и тд (ведь всегда можно найти цель полегче)

Т.е. это тоже нужно, так же как и проверка что качать пытаются по ссылке с твоего сайта?

[b00ste®]

Уже тут начинаеться путаница....
Давайте разбираться по немногу.
Начнем думаю с этого: Как спрятать то, что клик был на моем сайте? (то есть рефера, когда линк ведет к разработчикам на ФТП).

[Nuclear Death]

Может, я помогу с постановкой ТЗ ?

Внизу есть рисунок, далее цифры 1, 2, 3 и 4 будут обозначать коннекты на этом рисунке.

1. Пользователь делает запрос на основную страницу сайта, ему она без проблем пересылается (1, 4).

2. Запрос на скачивание файла (1).

3. Движок в базе ищет реальный линк на файл, создаёт коннект на сайт-фирмы (2).

4. Происходит скачивание файла с сайта-фирмы на сайт движка (3), тут же без задержек передаётся пользователю (4).

Проблемы :

1. Пользователь не должен знать реальных линков на файлы - решена.

2. Сайт-фирмы не должен увидеть реальный Referer - ... ХЗ, я не web-programmer.

3. Сайт-фирмы не должен зарегистрировать БОЛЬШОЕ количество закачек с одного и того же IP - ... можно сделать так : либо при первой же закачке, либо после N закачек сохранять файл на HDD, и при последующих обращениях брать его сохранённую копию.

4. Трафик, много трафика - ... деньги, много денег

Прикрепленные файлы

 LavTeam_AntiLeech.GIF ( 2.99 килобайт ) Кол-во скачиваний: 0

 

[ako]

b00ste®
Выводы не утешительны.
Все что приходит в голову - несколько не удобно для клиента из-за того что referer ставится браузером при клике и возможно еще как нибуть если очень сильно извратиться.
Как вариант - промежуточный сайт со вполне приличным контентом (описания програм и линки на них) + скрипт редиректор. С головного сайта открывается окно на втором где и есть ссылочка на файл. referer будет указывать на этот самый скрипт. На дополнительном сайте так же предлогать качать проги через этот же скрипт.
Но урлы уже будут видны.

[ako]

Nuclear Death
Практически то же самое что я описывал как "очень извращенный способ" :-)

2. Сайт-фирмы не должен увидеть реальный Referer - ... ХЗ, я не web-programmer.

Не увидит. Увидит абсолютно все что угодно т.е. то что пожелает хозяин скрипта.
Использовать referer для защиты - довольно бессмысленно ибо со стороны клиента оно подделывается очень легко.
Пример:
telnet www.yoursite.com 80
GET /index.html HTTP/1.0
Referer: http://www.some.site.com

:-)

3. Сайт-фирмы не должен зарегистрировать БОЛЬШОЕ количество закачек с одного и того же IP - ... можно сделать так : либо при первой же закачке, либо после N закачек сохранять файл на HDD, и при последующих обращениях брать его сохранённую копию.

Можно. Но проще будет самому ложить файлы на сайт.
Имеет смысл только если лень качать самому, а потом лить на сайт и трафик на сайте слаболимитированый.

4. Трафик, много трафика - ... деньги, много денег 

Угу... :-(

[b00ste®]

ako
Но этот-же safeurl работает, или по крайней мере работал неделю назад, так как удавалось давать ссылки на народ, и сливать без предупреждения.... Если у них получился скрипт, то может можно как-то и в "домашних" условиях такое придумать?

Я теперь посмотрел, они часто просто редирект делают, или нажать на закачку надо, а в то время когда я первый раз дал этот линк, то там было по другому, он урл шифровал, и автоматически редиректил

Сообщение отредактировал b00ste® - 27.09.2003 - 13:52

[ako]

b00ste®

Все что мне удалось с него получить - пустой реферер в лучшем случае. В худшем - реферер их сайт.

Что-то они там мудрят. Обычно на всякого рода закачки они выдают страничку со ссылкой "DOWNLOAD" указывающей на сайт.
Реферер в этом случае - эта самая страничка.

[b00ste®]

ako
Теперь увы да... Но вот тогда, когда я давал ссылку, там было по другому..
Просто выскакивал баннер, а закачка начиналась автоматом, а теперь они просто поставили ссылку.. А рефер "их сайт", это тоже не выход, так как некоторые дают качать, только когда рефер сайт, на том, на котором лежит файл (народ и аналоги), и вот с них удачно получалось скачать, а теперь этого "конька" сильно нехватает. Например, много игр лежит за греницей на таких серверах (biturbo например), и в каждой новости обьяснять на 2 языках, что надо или копировать, или Save As делать - не выход, все равно найдеться 1%, а это несколько десятков человек, которые будут писать гревные письма, что мол только выложиди а уже не работает и тд...
Как бы получить рефера тот сайт, на котором файл...
Раньше, когда писал safeurl?http://site.com/file.exe, ссылка шла потом в уже закодированном виде, куча бессмысленных на первый взгяд символов, а в итоге, как упоминал, скачивалось с народ'а без упоминания....

[ako]

b00ste®
Странно это.
Просто по стандарту неположено.

Да подделать реферер самому очень просто, но вот чтобы заствить удаленный браузер отдавать вместо реферера что-то произвольное... Незнаю.

[b00ste®]

Ладно. Похоже так ничего не получиться..
Давай может что придумаем, просто, чтоб ссылки писать "как обычно" (без разных ведения баз и прочего), но на "конечном пункте" был хотябы пустой рефер, или подставленный, но не мой..
Например, можно ли что-то сделать, что писать просто "/down.php?http://microsoft.com/win.exe", а сам скрипт уже (ну гарантированно желательно) прятал рефера?