Hackerone сделал "убер" для ИБ, если для ваших задач это слишком "убер", есть куча более стройных вариантов Crowdsourced Penetration Testing типо Synack red team или Cobalt.
P.S. В РФ после известных событий, правда, с этими сервисами все плохо.
Немного дополню, т.к. как раз занимаюсь безопасностью в mail.ru.
Как уже отметили в комментариях, для онлайн просмотра документов почта mail.ru, действительно, использует MS Office Online, это осознанное решение призванное обеспечить наилучший опыт работы с документами. При необходимости, документ всегда можно скачать напрямую из письма и открыть уже у себя локально, не используя онлайн просмотр.
Конечно, для клиентов требующих максимальной изоляции свои данных от любых внешних сервисов есть on-premise решение специально разработанное под подобные нужды. Развертывание в своей инфраструктуре позволяет контролировать и настраивать под свои нужны любые потоки данных.
В конфиге много разных ошибок.
Действительно, текущее условие НЕ пропустит запрос содержащий заголовок X-Managed с отличным от secured значением, при этом в случае отсутствия заголовка X-Managed запрос БУДЕТ пропущен.
Таким образом смысл в подобной «защите» отсутствует т.к. злоумышленник получит доступ к защищаемой директории просто не выставив заголовок X-Managed. Отдельно стоит отметить, что использовать подобный «ключ» secured в качестве средства ограничения доступа не является лучшим решением с точки зрения безопасности, даже если бы она была корректно имплементирована.
Пример корретной имплементации:
if ngx.header[«X-Managed»] ~= «secured» then
ngx.exit(ngx.HTTP_FORBIDDEN)
end
Hackerone сделал "убер" для ИБ, если для ваших задач это слишком "убер", есть куча более стройных вариантов Crowdsourced Penetration Testing типо Synack red team или Cobalt.
P.S. В РФ после известных событий, правда, с этими сервисами все плохо.
Как уже отметили в комментариях, для онлайн просмотра документов почта mail.ru, действительно, использует MS Office Online, это осознанное решение призванное обеспечить наилучший опыт работы с документами. При необходимости, документ всегда можно скачать напрямую из письма и открыть уже у себя локально, не используя онлайн просмотр.
Конечно, для клиентов требующих максимальной изоляции свои данных от любых внешних сервисов есть on-premise решение специально разработанное под подобные нужды. Развертывание в своей инфраструктуре позволяет контролировать и настраивать под свои нужны любые потоки данных.
Действительно, текущее условие НЕ пропустит запрос содержащий заголовок X-Managed с отличным от secured значением, при этом в случае отсутствия заголовка X-Managed запрос БУДЕТ пропущен.
Таким образом смысл в подобной «защите» отсутствует т.к. злоумышленник получит доступ к защищаемой директории просто не выставив заголовок X-Managed. Отдельно стоит отметить, что использовать подобный «ключ» secured в качестве средства ограничения доступа не является лучшим решением с точки зрения безопасности, даже если бы она была корректно имплементирована.
Пример корретной имплементации:
P.S. А ещё там ')' лишняя