Rămâneți cu 7.19 sau hack 7.22 (pentru a evita problema „itok”) (Drupal, 7, Token-Uri, Media)

apasajja a intrebat.

În primul rând, nu am nevoie de un mecanism de prevenire DDoS în Drupal, deoarece aceasta este treaba serverului meu.

În toate instalațiile mele Drupal, de obicei ascund identitatea Drupal din motive de securitate. Image style token (itok) este, de asemenea, un identificator Drupal. Am încercat un hack pentru a elimina itok în versiunea 7.22 și am aflat că itok nu este o implementare mică, care ar putea avea nevoie de mai multă muncă pentru a obține beneficii din partea comunității după hack.

Mă întreb dacă există o modalitate mai bună.

4 răspunsuri
Clive

Nu este nevoie de hack, doar adăugați următoarea linie la fișierul settings.php:

$conf['image_allow_insecure_derivatives'] = TRUE;    

Sursa

Aceasta va opri itok să nu mai fie folosit.

A fost chiar inclus într-un modul, dacă nu aveți chef să editați settings.php.

Imagine Permiteți derivatele nesigure

Oferă o interfață de utilizator pentru a permite Drupal să ocolească verificarea de securitate a token-ului atunci când generează derivate de imagine.

Ca o notă secundară, încercarea de a ascunde identitatea site-ului dvs. ca fiind un site „Drupal” este inutilă. Este cunoscută în domeniu sub numele de „Securitate prin obscuritate” și este o risipă de resurse care ar putea fi cheltuite pentru a rezolva reale probleme reale de securitate sau de performanță.

Pentru o explicație mai amănunțită, consultați secțiunea Cum pot să ascund ce folosesc pentru a-mi administra site-ul?

Comentarii

  • itok nu este o problemă de securitate, dar este o problemă uriașă de cache și CDN. –  > Por Mołot.
Mołot

Această problemă este deja în coadă de așteptare. Bine că este marcată ca fiind critică. Lucru rău, a fost mutată de la 7.x la 8.x (cu eticheta „needs backport”, dar oricum).

Între 7.19 au existat multe schimbări mici și benefice. Dacă puteți, scoateți itok și faceți upgrade. Și dacă puteți face itok configurabil, postați patch-ul dvs. în coada Issue queue pe care am legat-o.

Chris Leather

Din câte îmi dau seama $conf['image_allow_insecure_derivatives'] = TRUE; nu funcționează. Cel puțin nu pe versiunile 7.26+.

Deci da, un hack pare a fi soluția. Aceasta a funcționat pentru mine:https://drupal.org/node/1934498

W.M.

Utilizarea ImageMagick în loc de GD rezolvă problema.

Comentarii

  • Eu folosesc ImageMagik și tot mi se cere să furnizez parametrul itok. @W.M., ce setări utilizați pentru a permite acest lucru? –  > Por E.A.T..