Ограничение доступа к сайту по хосту по средствам .htaccess

Доброго времени суток, уважаемые форумчане!

Есть сайт "А" к нему будут обращаться другие сайты. Необходимо чтобы на стороне сайта "А" из достоверного источника определялось, кто к нему обращается и если это кто-то не из белого списка (указанные сайты), то они идут лесом либо попадают на заглушку, в общем доступа они не получают.

Под спойлерами уже неактуально (отдельное спасибо "Мелкому" )

Так на одном ip может висеть множество доменов


Грубо говоря, домены нужны для того, чтоб к серверу кто-то подключился не зная/помня его ip адрес. Когда уже сервер к кому-то подключается, "узнать" его можно лишь по ip.

Именно поэтому задача стоит узнать домен, а не ip



Т.е. если я вас правильно понимаю авторы нижеприведенного ресурса "высосали из пальца" информацию, которая размещена на этих страницах по нижеприведенным ссылкам?
http://httpd[dot]apache[dot]org/docs/2[dot]2[dot][dot][dot]_authz_host[dot]html
http://publib[dot]boulder[dot]ibm[dot]com/ht[dot][dot][dot]/mod_access[dot]html

А смысл
Никакого труда подделать хост
Ip конечно уже сложнее
Не лучше выдавать доверенным источникам ключи авторизации?

Каким образом в данном случае подделывается хост и ip?



Это будет второй этап аутентификации. Если он будет единственным этапом аутентификации, станет возможным в случае хищения этого ключа воспользоваться сайтом "А" или если владелец ключа захочет подключить еще сайты он сможет воспользоваться этим же ключом

я хз
все очень вариативно
яж не знаю что тебе надо в общем и целом
если можно расположить на том же хостинге то и хост и ip будут совпадать
а если источник захочет завести второй хост под той же учеткой то ничто не помешает
и ip совпадет и хост подделает и ключ совпадет
железных вариантов нет
в очередной раз лучше решать вопрос не технически а концептуально
кому это будет важно будет добросовестен за поддержку

приведите хотя бы один пример как можно подменить ip чтобы .htaccess принял его за настоящий


здесь написано:




если указать конкретный домен как хост может совпадать или как он его подделает?

Купить аккаунт на том же хостинге что и целевой сайт из белого списка.

Это не подмена, ip ведь у него реально такой, как у сайта из белого списка. Это та самая уязвимость из-за которой необходимо идентифицировать по домену а не ip

(Отредактировано автором: 18 Марта, 2015 - 13:32:07)

http://httpd[dot]apache[dot]org/docs/2[dot]2[dot][dot][dot]_authz_host[dot]html

Шаред-хостинг не пройдёт проверку в принципе. Попробуйте сделать reverse dns запрос к IP, на котором ваш сайт работает. Что получилось?


Суть: у апача есть входящий HTTP-запрос. В этом запросе есть только необязательный заголовок Host для доменного имени, к которому обращается запрос. Об отправителе запроса HTTP не знает вообще ничего.
Спускаемся ниже: на уровне TCP мы узнаем IP и порт машины, которая передала нам этот запрос. Номер порта - динамика, ничего не даёт. IP знаем - вот по нему allow-deny и делается.
А доменов здесь нет.

Если же вам дали рулить обратной DNS-зоной, то на этом IP только вы и работаете.

-----
PostgreSQL DBA

Если можно поподробнее и с примерами, честно говоря не понял
Его возможно подменить? Если да то как?


О чем речь тогда в этой документации?
http://forum.php.su/rd.php?http://httpd[dot]apache[dot]org/docs/2[dot]2/mod/mod_authz_host[dot]html
http://forum.php.su/rd.php?http://publib[dot]boulder[dot]ibm[dot]com/httpserv/manual60/mod/mod_access[dot]html


тоже не совсем понял, если можно попроще

Вопрос некорректен. Заголовок заполняется на клиенте и может содержать всё что угодно по определению.
И во-вторых, для шареда этот заголовок менять бесполезно, вам frontend скажет "я не знаю такого домена" и всё. Т.к. именно из-за заголовка Host и стали вообще возможны шареды - этот заголовок позволил работать многим сайтам на одном IP-адресе.


Если вы не заметили, первую ссылку я и цитировал. Вторая - это старая копия первой. И там тоже речь о том, что проверка осуществляется через обратную зону.

Есть DNS - он отвечает на вопрос "какой IP обслуживает такой-то домен". А есть особый запрос к DNS, называемый reverse DNS - он отвечает на вопрос "какое доменное имя соответствует этому IP". Надо понимать, что эти два запроса не имеют между собой ничего общего.
Технически rdns имён может быть на одном ip много, но имеется пачка проблем и такое не используется. Сейчас у одного IP или нет доменного имени или только одно. Разумеется, для шареда это будет не ваше доменное имя, а то, которое нужно хостеру.

Если ограничения по IP недостаточно, то решение уже озвучено:

Либо делать так, чтобы ограничения по IP было достаточно. Переезжать на выделенные IP, в частности.

-----
PostgreSQL DBA

Мелкий

Честно говоря много из написанного вами, мною не понято

Поэтому хотелось бы получить от вас максимально доступный без терминологии ответ на эти вопросы:

1) в документации ссылки, на которую я давал в предыдущих сообщениях показывается записи типа
почему такие записи в моем примере могут не работать??

2) По поводу методик:

2.1)
Данный метод будет вторым этапом аутентификации и первый ни коим образом не может заменить

2.2)
Такой вариант тоже рассматривался, но он не подошел, т.к. даже если сайт, имеющий доступ к сайту "А" на выделенном ip, его владелец может создать на этом же ip и хостинге еще сайт и воспользовавшись ключом от первого сайта получить доступ к сайту "А", что противоречит поставленной задаче

У меня нет желания перепечатывать гугл. reverse dns - это reverse dns.

Если вы предполагаете намеренную или случайную компрометацию ключа доступа и использование того же IP-адреса, то задача идентификации технического решения не имеет.

-----
PostgreSQL DBA

Если я правильно понял reverse DNS это возможность по ip адресу определить домен, к которому он привязан т.е. в следующем примере dedi33.your-server.de привязан к 213.133.106.33, а 213.133.106.33 ссылается на dedi33.your-server.de, в то время как forum.hetzner.de является дочерним для dedi33.your-server.de и не является reverse DNS для 213.133.106.33?
forum.hetzner.de --> 213.133.106.33
213.133.106.33 --> dedi33.your-server.de