Можно в личных сообщениях скопировать ссылку на фото и в инкогнито режиме браузера по ссылке посмотреть фото через ссылку.
А это значит что личные фотографии легко доступны поисковикам и парсерам.
Как решить проблему?
ЕСТЬ РЕШЕНИЕ
InstantCMS 2.X
#1
10 апреля 2026 в 19:28
#2
10 апреля 2026 в 22:13
А у вас есть доступ к содержимому директорий из /upload ?
Как решить проблему?
написать обработчик вложений для сообщений, чтоб не давать прямой доступ к файлу
Кстати в Вк тоже самое, если знаешь ссылку на фото из личных сообщений — то эту фотку может посмотреть кто угодно
Если тысячи пользователей ежедневно и защищаемых файлов (или изображений) не терабайты, то я в одном из своих проектов сделал так:
Доступ к файлам по адресу: protf.my-domen.ru/api/..{TOKEN}..{.jpg, .doc и т.п.}
TOKEN — естественно временный, обновляется каждый день или каждый час (кому как надо)
Ну а дальше с my-domen.ru или my-domen2(..3,5,10).ru из своего движка (CMS) через это API, по запросу пользователя извлекаешь нужный адрес временного доступа к файлу и кидаешь пользователю в браузер или куда требуется (почта, мессенджеры)
Делал на Golang (PocketBase+Echo)
#4
11 апреля 2026 в 17:07
фотографии легко доступны поисковикам и парсерам.
Умеют же люди придумывать несуществующие проблемы)
А у вас есть доступ к содержимому директорий из /upload ?
Права на папку uploads 777 по умолчанию. Я ставил 700 но система сама обнуляет до исходного значения.
Добавлено спустя 1 минуту
фотографии легко доступны поисковикам и парсерам. Praktik Умеют же люди придумывать несуществующие проблемы)
Это не несуществующая проблема а серьезный баг
Добавлено спустя 3 минуты
Как решить проблему?
Пробовал писать обработчик не сработал, пока не получается.
#6
12 апреля 2026 в 14:22
А это значит что личные фотографии легко доступны поисковикам и парсерам.
Нет, недоступны, если ссылку на изображение не расшарить.
Права на папку uploads 777 по умолчанию. Я ставил 700 но система сама обнуляет до исходного значения.
Вы не поняли сарказм.
Это не несуществующая проблема а серьезный баг
Нет, это не баг.
Тем не менее, «баг» решается secure_link и nginx.
А у вас есть доступ к содержимому директорий из /upload ?Права на папку uploads 777 по умолчанию. Я ставил 700 но система сама обнуляет до исходного значения.
Я вас не про права доступа спрашивал. Я спрашивал, видите ли вы каким-то образом директории/файлы в /upload. Если нет, то и парсинг невозможен и переживать нет смысла и огород городить.
#8
12 апреля 2026 в 18:32
Браузер видет всё. Фотки по ссылке тоже. Там права 777. И Провайдер видит тоже. И что? Вы скрываете от пользователей. А не от браузера. Хотите приватность, создайте свой сервер.
Пробовал писать обработчик не сработал, пока не получается.
как выше уже писали — вы зря паритесь, пока ссылки нет на каких-либо интернет-ресурсах — поисковик никак не проиндексирует ваши изображения из лички
что касается обработчика, дак настройте отдельную папку для лички, например .../uploads/chat/4gh54g5jh35g34h3jg543gh34j.jpg и далее перехватывайте в PHP все обращения к папке ../uploads/chat/
но а вообще, контроль доступа к изображениям средствами PHP это зачастую бессмысленная увеличенная нагрузка на сервер. Если очень-очень надо и файлов много, делайте лучше как я писал выше — средствами Golang (PocketBase+Echo) <- это решение сможет раздавать ссылки доступа к файлам — тысячами в секунду, не создавая значимой нагрузки на сервер.
#10
14 апреля 2026 в 20:33
Премного благодарен!
Метод хороший для относительно больших проектов.
Активно развивается сфера корпоративных порталов. Инстант ЦМС думаю хорошая альтернатива для малого бизнеса. Вот и возник вопрос с безопасностью сообщений, чтобы удостовериться в надёжности. Потенциал есть.