Verhinderung von Amazon Cloudfront hotlinking

Ich Amazon Cloudfront alle host meine Website Bilder und videos, um Ihnen zu dienen schneller zu meinem Benutzer, die sind ziemlich verstreut auf der ganzen Welt. Ich auch für ziemlich aggressiven forward-caching, um die Elemente, gehostet auf Cloudfront, Einstellung Cache-Controlzu public, max-age=7776000.

Ich habe vor kurzem entdeckt, zu meinem ärger, dass Websites von Dritten hotlinking zu meinen Cloudfront-server, um die Bilder auf Ihren eigenen Webseiten ohne Genehmigung.

Habe ich konfiguriert .htaccesszu verhindern hotlinking auf meinem eigenen server, aber noch keinen Weg gefunden, dies zu tun, auf Cloudfront, die nicht scheinen, um die das feature unterstützen nativ. Und, ärgerlicherweise, Amazon Bucket-Richtlinien, die verwendet werden könnten, um zu verhindern, dass hotlinking, wirkt nur auf S3, diese haben keine Auswirkungen auf die CloudFront-Verteilungen [link]. Wenn Sie möchten, um die Vorteile der Politik, die Sie haben zu dienen, die Ihre Inhalte aus dem S3 direkt.

Scheuern meine server-logs für hotlinkers und manuell ändern der Datei Namen ist nicht wirklich eine realistische option, obwohl ich das schon machen, um das Ende der eklatante Verstöße.

Irgendwelche Vorschläge wäre willkommen.

InformationsquelleAutor Donald Jenkins | 2011-04-13
  1. 10

    Den offiziellen Ansatz ist die Verwendung von signierte urls für Ihre Medien. Für jede Medien-Stück, das Sie verteilen möchten, können Sie erzeugen eine speziell gestaltete url, das funktioniert in einem bestimmten Einschränkung von Zeit-und Quell-IPs.

    Einen Ansatz für statische Seiten zu generieren, temporäre urls für die Medien enthalten, die Seite, die gültig sind für 2x die Dauer wie die Seite, die die caching-Zeit. Lassen Sie uns sagen, dass Ihre Seite die caching-Zeit ist 1 Tag. Alle 2 Tage, die links wären für ungültig erklärt, verpflichtet die hotlinkers-update-urls. Es ist nicht sicher, wie Sie können, build-tools, um die neuen urls automatisch, es sollte aber verhindern, dass die meisten Menschen.

    Wenn die Seite dynamisch ist, müssen Sie nicht sorgen zu machen, in den Papierkorb, Ihre Seite in den cache, so dass Sie kann einfach erzeugen urls, die sind nur für die Antragsteller die IP.

    • Dank Jonas: das ist ein ziemlich verworrenes Verfahren, obwohl?
    • Wie würde ich mich über den Zugriff auf die anfragende ip beim erzeugen von signierten urls?
    InformationsquelleAutor zimbatm
  2. 10

    Leiten Sie die Referer - header, um Ihre Herkunft

    1. Gehen CloudFront Einstellungen
    2. Bearbeiten Distributionen Einstellungen für eine distribution
    3. Gehen Sie auf die Registerkarte "Verhalten" und Bearbeiten oder erstellen Sie ein Verhalten
    4. Set Vorne-Header-Whitelist -
    5. Hinzufügen-Referenz als eine header-Whitelist
    6. Speichern der Einstellungen in der unteren rechten Ecke

    Stellen Sie sicher, dass Griff den Referer-header auf Ihre Herkunft als auch.

    • Ich kann nur hinzufügen, dass Origin, Access-Control-Request-Headers und Access-Control-Request-Methods zur weißen Liste... Auch das verlinkte Dokument nicht gesagt, dass alles, was nicht explizit über den referer...
    • Sie sollten in der Lage sein zu sehen, die option hier. Wenn nicht, dann ist es wahrscheinlich wegen des Preises planen, sind Sie auf.
    • können Sie ein Beispiel für den letzten Teil der Umgang mit den referer-header auf die Herkunft?
    • das ist unterschiedlich, pro server, laufen Sie auf die Herkunft. Google wird zeigen Sie code-Beispiele für, dass, wenn Sie suchen für prevent hotlinking nginx oder prevent hotlinking apache.
    • danke ich habe google ich mich in eine andere dimension, aber ging den falschen Weg. Was war ich verwirrt darüber ist, wo diese referer-check war, wie es origin-Einstellungen in cloudfront etc. In meinem Kopf ich würde denken, der referer prüfen Sie würde einfach auf cloudfront selbst. Aber ich verstehe jetzt fügen wir die Prüfung wie eine normale hotlink Schutz auf unsere eigentliche server als referer-header wird jetzt weitergeleitet an unseren server.
    • Tun Sie das nicht. Wenn das Bild angefordert wird, ist bereits in den cache von 'legit' user Holen es ein hotlinking-client wird in der Lage sein, es zu verlangen, einfach gut (und du bist immer noch die Zahlung für die cloudfront-Treffer). Wenn ein hotlinking-client nicht verwalten, um einen cache-miss und die Anfrage geht auf Ihre Herkunft verweigert wird, dann cloudfront cache der 403-Antwort, die für einige Zeit, wodurch legit Kunden bekommen auch diese Antwort, wenn Sie verlangen, dass Element. Sorry, wieder zu beleben diese Jahre alte Antwort, aber es ist eine top Suchmaschinen-Ergebnis noch.
    • Ich denke, du irrst dich, "können Sie konfigurieren, CloudFront, um vorwärts-Header, um den Ursprung, die Ursachen CloudFront cache mehrere Versionen eines Objekts basierend auf den Werten in einem oder mehreren Anfrage Headern." siehe docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/...
    • Interessant, so dass es klingt wie das funktionieren wird. Danke für die Korrektur.

    InformationsquelleAutor Blaise
  3. 8

    Hatten wir zahlreiche hotlinking-Probleme. Am Ende haben wir erstellt, css-sprites für viele unserer Bilder. Entweder das hinzufügen von Leerraum auf dem Boden/Seiten oder das kombinieren von Bildern zusammen.

    Wir angezeigt, Sie richtig auf unseren Seiten mit CSS, aber keine hotlinks würde, zeigen die Bilder falsch, es sei denn, Sie kopiert die CSS/HTML sowie.

    Wir haben festgestellt, dass Sie nicht stören (oder weiß nicht wie).

    InformationsquelleAutor Harry
  4. 5

    Ab Okt. 2015, Sie können mit AWS WAF, den Zugang zu beschränken, um Cloudfront Dateien. Hier ist ein Artikel von AWS ankündigt WAF und erklärt, was Sie mit ihm tun können. Hier ist ein Artikel , die mir geholfen setup meine erste ACL, um den Zugriff basierend auf den referrer.

    Grundsätzlich, ich habe eine neue ACL mit einer Standard-Aktion zu VERWEIGERN. Ich fügte hinzu, eine Regel, die prüft, die Ende der referer-header-string für meine domain-Namen (in Kleinbuchstaben). Wenn es geht, die Regel, die den Zugriff ERMÖGLICHT.

    Nachdem Sie meine ACL zu meinem Cloudfront-Verteilung, ich habe versucht, laden Sie eine meiner Daten-Dateien direkt in Chrome und ich habe diesen Fehler:

    Verhinderung von Amazon Cloudfront hotlinking

    InformationsquelleAutor Redtopia
  5. 2

    Soweit ich weiß, gibt es derzeit keine Lösung, aber ich habe ein paar möglicherweise relevanten, möglicherweise irrelevante Vorschläge...

    Erste: Zahlreiche Leute haben gefragt, diese auf die Cloudfront-support-Foren. Sehen hier und hier, zum Beispiel.

    Deutlich AWS profitiert von hotlinking: je mehr Treffer, desto mehr, die Sie kostenlos bei uns nach! Ich denke, dass wir (Cloudfront-Nutzer) starten müssen irgendeine Art von stark orchestrierte Kampagne, um Sie zu bieten, referer checking als ein feature.

    Andere temporäre Lösung habe ich mir gedacht, ist das ändern der CNAME-ich verwende zum senden von Verkehr zu cloudfront/s3. Also lassen Sie uns sagen Sie, dass Sie derzeit senden Sie Ihre Bilder an:

    cdn.blahblahblah.com (die leitet auf einige cloudfront/s3-bucket)

    Könnten Sie ändern, um cdn2.blahblahblah.com und löschen Sie den DNS-Eintrag für cdn.blahblahblah.com

    Als eine DNS-änderung, das würde knock out all die Menschen, die derzeit hotlinking vor Ihrem Verkehr immer irgendwo in der Nähe Ihrer server: der DNS-Eintrag würde einfach nicht nach oben zu sehen. Sie würde ständig wechselnden cdn CNAME, um diese wirksam ist (sagen wir mal einen Monat?), aber es würde funktionieren.

    Es ist eigentlich ein größeres problem als es scheint, denn es heißt, Menschen können kratzen komplette Kopien Ihrer website, werden die Seiten (einschließlich der Bilder) viel leichter - es ist also nicht nur die Bilder, die Sie verlieren, und nicht nur, dass man bezahlt, um zu dienen diese Bilder. Suchmaschinen manchmal schließen Sie Ihre Seiten sind kopiert und die Kopien sind die Originale... und Zack geht Sie Ihren traffic.

    Ich denke, die Aufgabe von Cloudfront zu Gunsten einer strategisch positionierte, mit super-schnelle dedicated server (dienen alle Inhalte auf der ganzen Welt von einem Ort) zu geben, die mir viel mehr Kontrolle über solche Dinge.

    Sowieso, ich hoffe, jemand anderes hat eine bessere Antwort!

    • Vielen Dank für die Kommentare. Klingt, als gäbe es keine richtige Lösung für dieses Recht jetzt. das manuelle ändern von URLs ist machbar, aber ziemlich arbeitsintensiv! Ich hoffe, dass Amazon sich mit einem besseren Weg.
    • Wenn Sie ändern Sie den CNAME-Eintrag, die Sie nicht brauchen, ändern Sie die URLs. Und können Sie mithilfe von 301-Weiterleitungen zu fangen Empfehlungen von den alten CNAME-Eintrag, für eine Zeit, bevor Sie Sie ändern, um einen neuen CNAME-Eintrag (Suchmaschinen anweisen, wo Sie gegangen sind). Wenn jemand dies Lesen und sich Fragen, was ich damit meine, dass der CDN CNAME, es ist sehr gut erklärt in Paul Stamatiou s guide "How to: Erste Schritte mit Amazon Cloudfront" [paulstamatiou.com/..., was ist die einfachste, klarste Leitfaden zur Umsetzung einer Cloudfront-CDN, die ich gefunden habe.
    • Ich mag die DNS-Vorschlag, in regelmäßigen Abständen knock out alle hotlinks 🙂
    InformationsquelleAutor Chris W
  6. 0

    Diese Frage erwähnt werden, Bild-und video-Dateien.

    Referer-Prüfung kann nicht verwendet werden, zu schützen multimedia-Ressourcen von hotlinking, da einige mobile Browser senden keine referer-header beim anfordern einer audio-oder video-Datei abgespielt mit HTML5.

    Ich bin sicher, dass über Safari und Chrome auf dem iPhone und Safari auf Android.

    Schade! Danke, Apple und Google.

    InformationsquelleAutor figolu
  7. 0

    Wie über die Verwendung von Signierten cookies ? Erstellen Sie unterzeichnet cookie verwenden von benutzerdefinierten Richtlinien, die unterstützt auch verschiedene Arten von Einschränkungen, die Sie festlegen möchten, und es ist auch nur Platzhalter.

    InformationsquelleAutor SANDIP
Schreibe einen Kommentar