sicurezza file pdf

[phoenixweb]

Mmm.. la soluzione di Ratatuia è sicuramente buona, ma non risolve tutti i problemi:

1. le pop-up molti utenti non le vedono grazie ai pop-up killer
2. il percorso del file pdf lo si può ricavare facilmente guardando l'indirizzo della pagina (tramite tasto destro, anche nel caso della popup)


La soluzione che ti consiglio e non ti dà problemi è questa:

1. crea un db mysql con all'interno un campo LONGBLOB (Dove inserirai il sorgente del file pdf) e altri campi a tua scelta

2. una volta autenticato l'utente, estrapola il contenuto del campo LONGBLOB (dove è presente il sorgente del file pdf) e mostralo via header all'utente validato

In questo modo è tutto il php che gestisce anche la generazione dei file.

Ciao!

[danyy]

OK!!grazie!alla grandissima!!

sei una grande! o un grande??

grazie cmq ovunque tu sia!!!

[phoenixweb]

...

dalla foto sembro fimmmmiiina?

[Ratatuia]

Originariamente inviato da phoenixweb
Mmm.. la soluzione di Ratatuia è sicuramente buona, ma non risolve tutti i problemi:

1. le pop-up molti utenti non le vedono grazie ai pop-up killer
2. il percorso del file pdf lo si può ricavare facilmente guardando l'indirizzo della pagina (tramite tasto destro, anche nel caso della popup)


La soluzione che ti consiglio e non ti dà problemi è questa:

1. crea un db mysql con all'interno un campo LONGBLOB (Dove inserirai il sorgente del file pdf) e altri campi a tua scelta

2. una volta autenticato l'utente, estrapola il contenuto del campo LONGBLOB (dove è presente il sorgente del file pdf) e mostralo via header all'utente validato

In questo modo è tutto il php che gestisce anche la generazione dei file.

Ciao!

ratapdf si basa infatti su db...quindi con opportune modifiche si può registrengere la visione agli utenti interessanti...

è anche vero che se c'è un file .htaccess, benchè uno mette l'indirizzo diretto al file, non riuscirà mai a scaricarlo perchè ci vogliono le username e password...

come soluzione ibrida puoi usare una tabella in mysql dove associ id numerico a nome file e quindi negli indirizzi passi tramite GET solo l'id numerico e poi con una query ricavi il nome del file da mostrare...

[phoenixweb]

Io preferisco sempre gestire tutto senza htaccess, rendendo il programma perfettamente portabile senza dover settare file in più.
Ovviamente è una scelta personale.

Inoltre, utilizzando le funzioni di encrypting di mysql si può creare una vera e propria "cassaforte" di dati (soprattutto se si utilizza come chiave di decriptazione la password dell'utente convertita in md5... rendendo impossibile la decrittazione per chi non conosce la pass!) ... soprattutto in vista delle ultime novità del campo sicurezza-privacy-dps.

[Ratatuia]

Originariamente inviato da phoenixweb
Io preferisco sempre gestire tutto senza htaccess, rendendo il programma perfettamente portabile senza dover settare file in più.
Ovviamente è una scelta personale.

Inoltre, utilizzando le funzioni di encrypting di mysql si può creare una vera e propria "cassaforte" di dati (soprattutto se si utilizza come chiave di decriptazione la password dell'utente convertita in md5... rendendo impossibile la decrittazione per chi non conosce la pass!) ... soprattutto in vista delle ultime novità del campo sicurezza-privacy-dps.

più che una scelta personale dipende dalle proprie necessità...

se è un progetto complesso con risorse limitate, caricare il db mysql con dati di documenti pdf anche voluminosi, può rallentare il tutto rendendo lenta l'esecuzione contemporanea di script...

ovvio che basandoti su apache hai anche lì una cassaforte dato che le password criptata...

[phoenixweb]

Caricare sul Mysql o su file system con grossi volumi di traffico non c'è molta differenza.

Su Apache ovviamente hai la password criptata, ma se uno ti sfonda il webserver si prende tutti i file e se sono documenti protetti, sono cavoli!

Se invece critti direttamente i file, se ti fregano il db non se ne fanno niente, perchè è impossibile decriptare una stringa codificata in md5!

[Ratatuia]

Originariamente inviato da phoenixweb
Caricare sul Mysql o su file system con grossi volumi di traffico non c'è molta differenza.

Su Apache ovviamente hai la password criptata, ma se uno ti sfonda il webserver si prende tutti i file e se sono documenti protetti, sono cavoli!

Se invece critti direttamente i file, se ti fregano il db non se ne fanno niente, perchè è impossibile decriptare una stringa codificata in md5!

se ti sfonda il webserver ti sfonda anche il resto del server, quindi i tuoi dati sono già fanculati...

e cmq mysql sarebbe caricato maggiormente, perchè oltre a gestire le query per i files, passarlo a php che fa ritornare l'output oltre che a dovere gestire le altre query che avvengono contemporaneamente, il file system invece passa direttamente il file a php, che rimanda il file di output...


in questo modo il carico di lavoro lo si ripartisce sia su mysql che sul filesystem...

[phoenixweb]

MySQl non ne risente assolutamente.
Ho sviluppato questo sito, www.praticheweb.it che serve a notai e commercialisti per inviare alcuni documenti firmati con firma digitale, deposito di bilanci etc..

Si basa su quel sistema di cui ti ho parlato, e anche nei momenti più critici il server risponde tranquillamente, anche quando ci sono decine di richieste al secondo... poi i commercialisti si riducono all'ultimo e quindi si ritrovano tutti nello stesso periodo a caricare centinaia di file!

Ripeto che se il webserver viene sfondato, ti possono prendere pure il file .sql ma non se ne fanno niente, perchè i dati vengono crittati con la password dell'utente che è a sua volta memorizzata via md5. Gli unici che possono decrittare i file sono quelli che conoscono la loro password...

L'md5 codifica una stringa in una sequenza di 32 bit, è un algoritmo che genera una "perdita" di dati fisiologica, rendendo impossibile tornare all'origine... Per cui il processo è sicuro al 100%!

[Xerxe]

Originariamente inviato da phoenixweb
Io preferisco sempre gestire tutto senza htaccess, rendendo il programma perfettamente portabile senza dover settare file in più.
Ovviamente è una scelta personale.

Inoltre, utilizzando le funzioni di encrypting di mysql si può creare una vera e propria "cassaforte" di dati (soprattutto se si utilizza come chiave di decriptazione la password dell'utente convertita in md5... rendendo impossibile la decrittazione per chi non conosce la pass!) ... soprattutto in vista delle ultime novità del campo sicurezza-privacy-dps.

l'md5 per i file pdf è una tecnica interessante, hai qualche link da suggerirmi per saperne di più? ho fatto qualche prova di "protezione" per i documenti in pdf aperti nel browser ma non c'è verso.. alla fine è sempre possibile salvare il file in qualche modo.

cià