Gravacacher er svært enkel og lett caching server som er utformet for ett bestemt formål: å cache avatar bilde fra tjenester som www.gravatar.com, som gir "globalt anerkjent avatarer".
Vanligvis vil Gravacacher bli utplassert på nettsteder som er vert blogger eller fora som er avhengig av Gravatars. Den Gravacacher prosjektet støtter en sikkerhetsmekanisme som gjør at det å svare på kun søk som utføres via nettadresser generert av serverprogramvaren, for eksempel blogg eller forum motorer, permanente bufrede enheter, og både positive og negative TTLS når caching.
Her er noen viktige trekk ved "Gravacacher":
· Støtter sikkerhetsmekanisme for å gi tilgang kun til de avatarer nett programvaren har generert linker til, mer om det nedenfor.
· Støtter flere steder - Jeg vet ikke noen annen tjeneste bortsett gravatar.com i dette øyeblikk, men det er mulig nye kan vises.
· Støtter "faste" avatarer, altså de som aldri utløper - nyttig for dine egne avatarer lagret på din egen web server.
· Støtter både positive og negative TTLS for bufrede avatarer.
· Støtter "default" avatarer henter selv om hovedserveren er nede eller overbelastet - de hentet avatarer vil ikke endres, skjønt, så sørg for at koblingen peker til bildet av riktig størrelse.
Sikkerhetsmekanisme forklaring
Den grunnleggende ideen er å hindre andre fra å bruke gravacacher installasjon som fri gravatar.com caching proxy for sine egne behov.
Forlate avatarer proxy åpen ikke bare kunne føre uønsket systembelastning og trafikk, men også i tilfelle noen feil fra gravatar.com eller annen server du kan cache - for eksempel hvis serveren du cache ikke validerer "default" parameter godt nok - ubegrenset installasjon ville faktisk blitt åpen generell HTTP proxy-server, som er enda mer farlig.
For å overvinne at følgende er gjort:
Link generator (som vanligvis er noen blogg / forum motor) i tillegg til å generere den vanlige sett med parametere som er nødvendig for å hente ut informasjon fra gravatar.com eller annen server, også genererer MD5-hash av "passord" + "parametre", der "passord" er kjent bare for gravacacher og generator motor. Denne hash er lagt til det sett av parametere som er satt i linken.
Når serverer forespørsel, beregner gravacacher MD5-hash av reveiver parametere (unntatt hash, selvfølgelig), og sammenligner det med den mottatte hash. Hvis dette ikke stemmer overens - forespørselen er avvist.
Her er et enkelt eksempel, bruker falske hasher / IDer for klarhet.
Anta at anmodningen vi normalt ville generere er
http://www.gravatar.com/avatar.php?gravatar_id=12345&size=80&
Standard = http: //www.example.com/default_image.png
Parametere her er "gravatar_id = 12345 & size = 80 & default = http: //www.example.com/default_image.png"
Hvis passordet er "bla-bla-bla" og gravacacher installasjonen er tilgjengelig som "www.example.com/gravacacher.fcgi" og deretter generere programvare skal utføre følgende:
gravacacher_id = MD5 ("bla-bla-blagravatar_id = 12345 & size = 80 &
Standard = http: //www.example.com/default_image.png ")
La gravacacher_id fra forrige trinn være "67890" .Så vi generere ny URL ved å sette gravacacher_id der og erstatte www.gravatar.com av gravacacher url resulterer i følgende url:
http://www.example.com/gravacacher.fcgi?gravatar_id=12345&size=80&
Standard = http: //www.example.com/default_image.png&gravacacher_id=67890
Vær oppmerksom på at denne funksjonen ikke hindrer uautorisert uthenting av avatarer fra bufferen som du genererte linker til - tross alt, det er nesten umulig å vite om anmoder er "gyldig" en - det vil si at en som nettopp lastet ned siden fra serveren og spør nå for avatarer med lenker fra den siden, i motsetning til noen som hentet den siden for en stund siden, og nå gjentatte ganger bruker generert link til hente avatar om og om igjen.
Men det forhindre at andre bruker din cache for å hente ting du har aldri generert linker til - og som jeg tror, bør være nok for de fleste. Hvis ikke, bør du vurdere å implementere noen form for passord rotasjon, slik at passordet som brukes til å generere koblinger skiftes en gang i blant, gjør alle tidligere lenker ugyldig.
Til slutt, selvfølgelig, hvis tross for alle farene du ønsker ubegrenset tilgang - du kan slå sikkerhet krysse av ved å spesifisere tomt passord i config og utelate gravacached_id fra koblingene -. Deretter gravacacher vil fungere i ubegrenset modus
Kommentarer ikke funnet