AWS S3'te önceden tasarlanmış URL'ler ne kadar güvenli?

Question

Kullanıcıları S3'te saklanan hassas kaynakların önceden tasarlanmış URL'lerine yönlendirmeyi planlıyorum. Bunlar, kullanıcının haklarını kontrol ettikten ve agresif zaman aşımlarına (30 saniye) sahip olduktan sonra üretilir. Endişem ancak, istemcimin makinasında bulunan ve url'yi yakalamak için bazı kötü amaçlı yazılımların mümkün olup olmayacağı ve yine de dosyanın URL'nin süresi dolduğunda indirilip yüklenemeyeceğidir. Yoksa sadece çok paranoyak mıyım?

Bu daha önce cevaplanmışsa, lütfen beni bu yönde işaretleyin. Yardımınıza minnettar olurum.

Answer 1

Bunu - http://docs.aws.amazon.com/AmazonS3/latest/dev/AuthUsingTempFederationTokenRuby.html ürünüyle buldum ve deneyelim. Çalışıyor gibi görünüyor. doc kodu alıntı yapan -

# Start a session with restricted permissions. 
sts = AWS::STS.new() 
policy = AWS::STS::Policy.new 
policy.allow(
    :actions => ["s3:ListBucket"], 
    :resources => "arn:aws:s3:::#{bucket_name}" 
).condition.add(:like, :referer, "domain.com") 

session = sts.new_federated_session(
    'User1', 
    :policy => policy, 
    :duration => 2*60*60) 

yüzden müşteri indirme ve/veya aws olabilen gelen kaynak IP adresi olabilir oluşturmak politikası: Referer alan Uygulamamın etki alanına ayarlayın. Bence bu, kaynağınıza en az bir engel engelini sağlıyor. Anladığım kadarıyla, IP adresi veya yönlendirici kolayca taklit edilebilir. Ama hiç bir korumaya sahip olmamasından daha iyidir.

Answer 2

Son kullanma tarihinden önce URL alan herkes, veriye erişmek için bunu kullanabilir.

http://docs.aws.amazon.com/AmazonS3/latest/dev/AccessPolicyLanguage_UseCases_s3_a.html

Ancak bu durumda istemci makinesinde kötü amaçlı yazılımlar hakkında endişeli: S3 verilerine erişim izin verilen IP adreslerini sınırlamak kova politikaları destekler. Yani bu yardımcı olmaz. Verileri şifreleyerek, sadece müşteri sürecinin şifresini çözebileceğini düşündünüz mü?

Verileri bir şekilde sızdıran güvensiz/dikkatsiz bir istemciye karşı hala savunmasızsınız.