Включение в веб страницу файлов изображений или других ресурсов с чужого сервера
Несколько примеров использования файла .htaccess
Почему несколько? Потому, что вариантов внесения изменений в данный файл очень много, некоторые из них необходимы и полезны, а без других можно легко обойтись или заменить их использованием скриптов и плагинов. Поэтому здесь я представлю варианты внесения дополнений, которые использую на своем сайте, так сказать проверенные и «испытанные на себе». Во вновь установленном WordPress файл .htaccess в корневой папке сайта по умолчанию имеет следующий вид:
Прежде, чем делать изменения в файле .htaccess, сохраните резервную копию оригинала на случай внесения некорректных данных.
Задание кодировки файлов на сервере
При помощи этой записи можно задавать кодировку в отдельных директориях (папках и подпапках), отличную от основной кодировки сайта. Например, сайт имеет кодировку utf-8, а Вы скачали скрипт гостевой книги в кодировке windows-1251 и если Вы закачаете папку с гостевой книгой в корневую директорию своего сайта, при попытке её просмотра, браузер выдаст Вам так называемые «кракозябры». Но, если внутри папки с гостевой книгой поместить файл .htaccess с принудительной кодировкой windows-1251, всё станет на свои места. И не нужно пытаться перекодировать скрипты или что-то ещё выдумывать. Ваш установленный скрипт заработает корректно. Кодировка в файле .htaccess записывается следующим образом:
Блокировка хотлинков с других сайтов
Хотлинк (hotlink) — включение в web-страницу файлов изображений или других ресурсов с чужого сервера. То есть, представьте себе ситуацию, что нашелся человек, один, два, а при хорошей посещаемости сайта, может быть и сотни, которые будут использовать ваши ссылки на изображения, экономя собственный трафик. Картинки будут появляться на их сайтах, но грузиться будут, соответственно, с вашего. Это создаст большую нагрузку на сервер и, как следствие, замедлит работу вашего сайта. Для предотвращения такого безобразия, используем этот код:
Запрет доступа к файлу wp-config.php
Защита самого файла .htaccess
Как ни странно, но можно сделать и такой «ход конём»:
Запрет доступа к определенным файлам
Файлы js и css мы уже защищали в хотлинке картинок, но, можно сделать и таким образом:
301 редирект для слияния страниц с www и без (склейка домена)
В Google: Вебмастер → выбираем сайт → Настройки (изображение шестереночки, справа вверху) → Настройки сайта . Выбираем предпочтительный вариант:
Кэширование файлов
Кэширование ускорит загрузку Вашего сайта. Для решения этой задачи можно воспользоваться модулем headers web-сервера Apache. Суть в этом случае сводится к тому, чтобы заставить браузер загрузить редкоизменяемые данные с сервера в локальный кэш всего один раз, а далее при заходе на сайт, использовать данные из кэша. Для включения кэширования добавляем код:
Вы можете добавить новые или удалить некоторые типы файлов. Можно использовать max-age, чтобы указать время хранения ваших файлов в кэше в секундах.
Включение Gzip сжатия файлов
Можно сжимать все файлы сайта с помощью GZIP. Одним из лучших способов сжатия является использование модулей mod_deflate или mod_gzip . Они используются для автоматического сжатия всех файлов HTML, CSS, JavaScript и XML. В данном примере представлен более современный модуль mod_deflate :
Некоторые хостеры включают сжатие, только по запросу пользователей!
Блокировка по IP
Если нужно закрыть доступ к сайту определенному пользователю, например, за нарушение правил, Вы можете заблокировать его по IP адресу. Допускается массовая блокировка пользователей. Для добавления нового IP дублируйте строку deny from , заменяя IP адреса:
Также можно блокировать целую подсеть IP адресов 012.34.5. В примере не пишется последнее число, тем самым отсекается доступ для диапазона 012.34.5. 0 — 012.34.5. 255.
Запрет просмотра сайта определенными User-Agent
Здесь так же следует отметить, что блокирование нежелательных User-Agent может осуществлять плагин All inOne SEO Pack, в случае, если в настройках будет активирован Блокировщик вредных ботов . Здесь у Вас тоже есть право выбора.
Вот такая подборка у меня получилась. Это не конечный перечень вариантов дополнений в файл .htaccess. Существует ещё множество разновидностей задач, которые он способен решать. Ну, а мы на этой позитивной ноте закончим знакомство с поистине замечательным файлом .htaccess.
Пока. Л.М.
Второй способ основывается на актуальной судебной практике США, поскольку это самая оперативная юрисдикция в части разрешения споров о новых формах и сферах использования произведений. К тому же, все крупнейшие социальные сети находятся в юрисдикции США, а в условиях пользования их сервисами, и применимое право, и суд – тоже в США.
Вывод суда – предоставление таких HTML-ссылок не тождественно размещению чужого фото по двум причинам:
HTML-ссылка представляет собой строчки текста, а не фотографическое произведение;
HTML-ссылка сама по себе не является причиной появления чужих изображений на экране компьютера пользователя. Ссылка сообщает браузеру пользователя адрес, где размещена картинка, и лишь взаимодействие браузера пользователя с компьютером (сервером), который хранит чужое фото, приводит к распространению чужих произведений."
пс.ссылка на фото взята из открытого профиля вконтакте, и отражается на странице,где поставлена.
Живу в стране Развитого Идиотизма. Настоящие россияне - идиоты, которые помогают всем. И эти "все" потом на них срут. Мы - идиоты.Ага. Только например в РФ, суды не считают Интернет - открытым источником (если кто то, выложил, что то в Интернет, это вовсе не означает, что брать могут все). И есть такое слово как - "использование". Которое можно широко трактовать.
Так что в РФ, принцип прост - можно использовать только то, что - разрешили. Потому что вы не знаете, а есть ли разрешение у того, на кого вы ссылаетесь. А виноваты будут все кого поймают, исключений не будет.
Речь не обо мне. Фото человека,журналиста.Закон РФ говорит о "публичных людях" - журналист, вроде бы, попадает под этот определение. А ссылка на фото - это не фото;)
В РФ нарушением авторских прав является использование объекта защищенного АП, независимо от способа использования.
Не публикация, а использование.
Marta Max:Речь идет о таком способе размещения чужих веб-страниц как in-line linking, известный также, как хотлинк (включение в веб-страницу файлов/изображений или других ресурсов с чужого сервера). Вместо воспроизведения чужой картинки, при помощи HTML-протокола через браузер ссылка направляет пользователя к веб-сайту, на котором размещена/воспроизведена искомая картинка.
Если на картинка на сайте отображается (а при хотлинке так оно и есть), значит она на нем используется.
Solmyr:В РФ нарушением авторских прав является использование объекта защищенного АП, независимо от способа использования.
В законе термин "использование" имеет не обще-обывательское значение, а конкретный определенный список значений.
Какой конкретный вид использования картинки вы предлагаете применить? Я ответа на вопрос не знаю. В технической плоскости происходит загрузка изображения в браузер посетителя напрямую с сервера правообладателя, но в контексте вашего сайта. В широком смысле я склоняюсь, что нарушение всё же есть, но есть и аргументы для защиты в суде, если удастся всё рассмотрение свести в техническую плоскость.
Смотрите решение судьи Хатыповой, а именно со стр. 3.
Решение осталось в силе.
ivanbardov:Смотрите решение судьи Хатыповой, а именно со стр. 3.
Весьма сомнительные аргументы даже в технической плоскости там приведены. Например, как модуль апача mod_rewrite может автоматически модифицировать изображения я не понимаю. Хорошо, там упомянут пхп. Да, сторонний сервер может автоматом обрезать изображения, но. автоматом подставлять логотип нарушителя без его ведома. Это как? Короче, я бы не опирался на такие "аргументы". Да и в этом деле истец не смог доказать, что он является правообладателем. Остальное всё уже второстепенно.
Это совершенно не относится к обсуждаемому вопросу, так как дело далее по существу не рассматривалось, а похерилось по причине пропуска истцом срока подачи апелляции и далее решения касались отказа в восстановлении этого срока, как я понял.
borisd:Весьма сомнительные аргументы даже в технической плоскости там приведены.
Судья - не специалист в техническом плане и ссылается в решении, скорее всего, на текст экспертизы или иных пояснений.
borisd:Да и в этом деле истец не смог доказать, что он является правообладателем. Остальное всё уже второстепенно.
Судья дала оценку доказательствам факта использования ответчиком произведений и выразила позицию суда.
Пусть для Вас это будет второстепенно и вообще нисколько не значимо - мне Вас переубеждать нет нужды.
borisd:Это совершенно не относится к обсуждаемому вопросу, так как дело далее по существу не рассматривалось, а похерилось по причине пропуска истцом срока подачи апелляции и далее решения касались отказа в восстановлении этого срока, как я понял.
Верно, но Вы же не оспариваете того, что решение осталось в силе?
Задевшее Вас предложение написано во избежание спекуляций на тему "зачем ссылаться на решение, там могли его 100 раз отменить и т.п.".
ivanbardov, очень трудно было процитировать здесь? Хотя бы основные тезисы.
А то при заходе:
Доступ к сервису ограничен!Если вы видите эту страницу, значит с вашего IP-адреса
поступило необычно много запросов.
Фома:
ivanbardov, очень трудно было процитировать здесь? Хотя бы основные тезисы.
А то при заходе:
В этом виноват Ваш провайдер (или VPN, или плагин браузера).
Доказательств того, что ответчик разместил спорные фотографии на своих серверах, представлено не было. Из нотариального протокола следует, что спорные фотографии доступны в Интернете, однако осмотр не идентифицирует, на чьем именно сервере размещены спорные фотографии, соответственно, нельзя сделать вывод о том, кто именно доводит фотографию до всеобщего сведения.
Истец доказательств принадлежности указанных серверов ответчику ООО «Клуб путешествий ПЕРСОНА» не привел.
ООО «Новотелеком» лишь предоставляет возможность использования Интернет ресурса, а ответственность за его содержимое (которым является в данном случае сайт) несет организация, осуществляющая производство и выпуск СМИ.
Тысячи веб-сайтов взламываются каждый день из-за неверной конфигурации или уязвимого кода.
Если ваш веб-сайт доступен в интернете, вы можете использовать онлайновые инструменты, чтобы отсканировать веб-сайт на наличие уязвимостей, чтобы понять, насколько безопасен ваш веб-сайт.
Не волнуйтесь, если у вас интранет сайт, вы можете использовать сканера Nikto, также опен соурсный.
Коммерческие WAF, как правило, дорогие и если вы хотите бесплатно защитить ваш веб-сайт, используя WAF, тогда следующие решения с открытым исходным кодом могут быть вам полезными.
1. ModSecurity
Бесплатные правила ModSecurity будут полезны в том случае, если вы хотите защититься от:
• Cross-site scripting [ XSS ] • Trojan
• Утечка информации
• SQL injection
• Общие веб-атаки
• Вредоносные действия
У ModSecurity нет графического интерфейса.
Если вы хотите вэб-интерфейс, вы можете рассмотреть использование WAF-FLE.
Оно позволит вам сохранять, искать и просматривать события в консоли.
Скриншоты программы WAF-FLE:
2. IronBee
IronBee еще не доступен в бинарном пакете, таким образом,чтобы его использовать, необходимо скомпилировать его из источника и протестирован он на следующих ОС:
• CentOS
• Fedora
• Ubuntu
• OS X
3. NAXSI
Из самого названия вы можете предположить, что этот продукт только для веб-сервера Nginx, и, главным образом, предназначается для того, чтобы защитить от XSS атак и атак с использованием кода на SQL.
4. WebKnight
WebKnight WAF для Microsoft IIS.
WebKnight предназначен для обеспечения безопасности от следующих атак:
• Переполнение буфера
• Возможность обхода корневой директории
• Кодировка символов
• Инъекция SQL
• Блокирование плохих роботов
• Включение в веб-страницу файлов-изображений или других ресурсов с чужого сервера
• Брутфорс
WebKnight 3.0 получил админиский веб-интерфейс, где вы можете настроить правила и выполнить задачи администрирования, включая просмотр статистики.
5. Shadow Daemon
Shadow Daemon обнаруживает, записывает и предотвращает веб-атаки, фильтруя запрос по вредоносным параметрам.
Он идет с собственным интерфейсом, где вы можете выполнить администрирование и управлять этим WAF.
Он поддерживает языки PHP, Perl & Python.
Он может обнаружить следующие атаки:
• Инъекция SQL
• Инъекция XML
• Инъекция кода
• Командная инъекция
• XSS
• Backdoor доступ
• Локальное/удаленное включение файла
Программы с открытым исходным кодом бесплатны, но вы тем самым не получаете средства поддержки и должны полагаться на свои знания и опыт или же общественную поддержку.
Если вы все таки ищете коммерческие WAF, можно обратить внимание на следующее:
CloudFlare (cloud-based)
Incapsula (cloud-based)
F5 ASM
TrustWave ModSecurity commercial rules
SUCURI (cloud-based)
Akeeba Admin tools (для Joomla)
Тысячи веб-сайтов взламываются каждый день из-за неверной конфигурации или уязвимого кода.
Если ваш веб-сайт доступен в интернете, вы можете использовать онлайновые инструменты, чтобы отсканировать веб-сайт на наличие уязвимостей, чтобы понять, насколько безопасен ваш веб-сайт.
Не волнуйтесь, если у вас интранет сайт, вы можете использовать сканера Nikto, также опен соурсный.
Коммерческие WAF, как правило, дорогие и если вы хотите бесплатно защитить ваш веб-сайт, используя WAF, тогда следующие решения с открытым исходным кодом могут быть вам полезными.
1. ModSecurity
Бесплатные правила ModSecurity будут полезны в том случае, если вы хотите защититься от:
• Cross-site scripting [ XSS ] • Trojan
• Утечка информации
• SQL injection
• Общие веб-атаки
• Вредоносные действия
У ModSecurity нет графического интерфейса.
Если вы хотите вэб-интерфейс, вы можете рассмотреть использование WAF-FLE.
Оно позволит вам сохранять, искать и просматривать события в консоли.
Скриншоты программы WAF-FLE:
2. IronBee
IronBee еще не доступен в бинарном пакете, таким образом,чтобы его использовать, необходимо скомпилировать его из источника и протестирован он на следующих ОС:
• CentOS
• Fedora
• Ubuntu
• OS X
3. NAXSI
Из самого названия вы можете предположить, что этот продукт только для веб-сервера Nginx, и, главным образом, предназначается для того, чтобы защитить от XSS атак и атак с использованием кода на SQL.
4. WebKnight
WebKnight WAF для Microsoft IIS.
WebKnight предназначен для обеспечения безопасности от следующих атак:
• Переполнение буфера
• Возможность обхода корневой директории
• Кодировка символов
• Инъекция SQL
• Блокирование плохих роботов
• Включение в веб-страницу файлов-изображений или других ресурсов с чужого сервера
• Брутфорс
WebKnight 3.0 получил админиский веб-интерфейс, где вы можете настроить правила и выполнить задачи администрирования, включая просмотр статистики.
5. Shadow Daemon
Shadow Daemon обнаруживает, записывает и предотвращает веб-атаки, фильтруя запрос по вредоносным параметрам.
Он идет с собственным интерфейсом, где вы можете выполнить администрирование и управлять этим WAF.
Он поддерживает языки PHP, Perl & Python.
Он может обнаружить следующие атаки:
• Инъекция SQL
• Инъекция XML
• Инъекция кода
• Командная инъекция
• XSS
• Backdoor доступ
• Локальное/удаленное включение файла
Программы с открытым исходным кодом бесплатны, но вы тем самым не получаете средства поддержки и должны полагаться на свои знания и опыт или же общественную поддержку.
Если вы все таки ищете коммерческие WAF, можно обратить внимание на следующее:
CloudFlare (cloud-based)
Incapsula (cloud-based)
F5 ASM
TrustWave ModSecurity commercial rules
SUCURI (cloud-based)
Akeeba Admin tools (для Joomla)
Читайте также: