+5
Under review

Имена файлов при заливке на собственный домен

Артем Артем 7 years ago updated by BaNru 6 years ago 20

Здравствуйте!

Приобрел платный Joxi для заливки скриншотов на свой сервер. Всё отлично работает, но есть небольшая проблемка. Файлы заливаются с именами, соответствующими текущему времени в UNIX-формате (timestamp). Это очень нехорошо, так как предоставляет возможность для простого перебора моих скриншотов в цикле, что может привести к утечке каких-то персональных данных, которые не хотелось бы "светить". Большая просьба сделать хотя бы MD5 от текущего времени + соль или просто md5(random).

Заранее спасибо!

Answer

Answer
Under review

Здравствуйте.


Спасибо, рассмотрим этот вариант.

Answer
Under review

Здравствуйте.


Спасибо, рассмотрим этот вариант.

А можно как-то ускорить процесс рассмотрения? Функция вроде несложная, а скриншоты копятся-копятся и могут рано или поздно стать источником проблем.

Здравствуйте.


Подобный запрос носит единичный характер и не может быть повышен в приоритете до срочного.

Однако задача поставлена в план и будет реализована позднее. О точных сроках на данный момент ничего неизвестно. Вы можете следить за анонсами в наших группах в социальных сетях.

Хорошо, спасибо, будем ждать.

Господа, приветствую. Интересует статус рассмотрения вопроса. Он был задан 3 месяца назад. Т.к. я сам программист, то знаю, что реализовать его можно за несколько часов. Пользоваться программой полноценно не могу вследствие вопиющей опасности раскрытия персональных данных третьим лицам. Как быть?

Ребят, вы вообще развиваете свой продукт? Или только бабло стрижете? 9 месяцев уже прошло, ребенка можно выносить и родить, а мой вопрос до сих пор не решен. Выложите исходники на гитхаб, раз самим лень работать - сами доработаем.

Блин, удобная штука, но такое отношение к юзерам портит всё впечатление.

Зачем им развивать? Я вообще уже несколько месяцев сижу на поломанной новой версии под Ubuntu, где ничего не работает, только тупо скриншот и заливка безовсего (ни панели, ничего). Они даже не выдают старую стабильную версию.


Писал подробные багрепорты, а воз и ныне там.


Вот тоже сижу и думаю: зачем я продлил платную подписку?

Артём, а что мешает тебе переименовывать на своём сервере файлы при сохранение?

Вопрос снимается, если речь за сервера типа Друпбокс.

В принципе идейка не плохая, что бы переименовывать файлы. Но зачем ждать пока сделают Они, сделай Сам :) Маленький скриптик, который дергает папку раз в минуту, ищет по паттерну неправильные имена и переименовывает. 30 мин работы. И вопрос снят. А ждать пока сделают Они - долго. Если бы проблема имела глобальный характер, то решили бы быстро, а так, ждемммм :)

Сами-то поняли, что предложили?

Итак, по шагам:

1. Тыкаю в трей

2. Делаю скриншот

3. Скриншот заливается на мой сервер с текущим временем в качестве имени файла

4. Путь к скриншоту попадает в буфер в виде http://мой_сайт.ру /123123123.jpg

5. Я вставляю полученный путь в телеграм, чтобы показать скриншот другому пользователю.

Где тут, блин, этап переименования файлов, я не понимаю?

И ладно, если пользователь в телеге посмотрел файл - после этого файл можно удалить или переименовать.

Но если я буду юзать скриншоты для моих статей, например - тогда что?

Вставил путь в статью - картинка отобразилась - через полчаса отработал скрипт переименования - и каритинка больше не отображается. Вручную что ли потом пути править? Зачем тогда автоматизация в виде joxi?

А это самый частый сценарий - когда я делюсь картинками, залитыми на мой сервер, с другими людьми посредством публикации картинки на разных сайтах.

Приходится пока использовать собственный билд gyazo для загрузки на свой сервер, но это жуткий костыль, потому как у gyazo нет редактирования перед загрузкой - даже тупую стрелочку не поставишь.

Короче, грусть.

Я не знаю как в JOXI реализовано в случае своего сервера, но их сервер возвращает url с переименованным файлом, этот url и передаётся пользователю. Должно же быть похожее и при загрузке на свой сервер, какой-то ответ с новым-переименованным файлом. Это уже, вероятно, вопрос к JOXI надо отправлять.


Почитай внимательно вопрос. Я там все расписал, как и что реализовано у JOXI по поводу заливки на свой сервер.

"Это уже, вероятно, вопрос к JOXI надо отправлять." - а я куда написал? В администрацию президента?

А ты вероятно не понял моё сообщение.

Наверняка в JOXI есть реализация ответа сервера, под каким именем залит файл и если этот ответ пустой, то он просто выдаёт временную метку. Вот и надо узнать этот ответ (API).

Причем тут буфер к заливки на свой сервер ? Файлы падают к тебе на диск(на твой сервер), вот там и переименовывай. А потом копируй ссылку, да не удобно, но секьюрно. 

Так я так могу бесплатно на ftp скриншоты заливать и оттуда ссылку копировать, зачем мне joxi тогда?

И дело не в глобальном характере проблемы - понятно, что загрузку скринов на свой сервер мало кто юзает.

Дело в серьезности проблемы.

Представьте, что к базе данных, например, госуслуг, получит доступ какой-нибудь придирчивый хакер, который найдет какой-нибудь способ перебрать всех пользователей по id.

Проблема не массовая, так как URL, по которому можно перебирать варианты, скрыт где-то в глубине движка госуслуг и нашел его только придирчивый хакер. Но она капец какая серьезная, согласитесь.

Также и со скринами. Кто-то придирчивый заметит закономерность в именах файлов, напишет за 2 минуты скрипт перебора и получит все скриншоты, которые я кому-либо когда-либо отправлял. А в скриншотах этих может быть что угодно - от коммерческой тайны до личной информации. И затем будет меня шантажировать чем-то или пойдет в суд за то, что я не сохранил пользовательские персональные данные втайне надлежащим образом. Кому я потом предъявлю? Разработчикам joxi? Глупо.

Вот и приходится пользоваться другой программой вместо той, за которую заплатил.

И ладно бы нужно было вагон времени, чтобы это исправить - но блин, там делов на 10 минут, любой программист подтвердит.

Есть правда в твоих словах. Я например не заливаю скрины, которые могут иметь какую-либо коммерческую тайну, на левые сервера, типа Джокси. Максимум сделаю локальный скрин используя Джокси. И тут проблема конфиденциальности сама собой отваливается.

Тогда проголосуй за исправление. Может, разработчики увидят всё-таки и примут меры )

Оффтоп


> Кто-то придирчивый заметит закономерность в именах файлов, напишет за 2 минуты скрипт перебора и получит все скриншоты


Зачем скрипт? Есть программы типа downloadmster или ещё во времена диалапа использовал для выкачивания целых порносайтов PicturePump