首页 > 云计算 > 阿里云OSS的奇怪设定
2013
04-24

阿里云OSS的奇怪设定

阿里云OSS是阿里云的开放存储服务
阿里云存储服务(Open Storage Service,简称OSS),是阿里云对外提供的海量,安全,低成本,高可靠的云存储服务。用户可以通过简单的REST接口,在任何时间、任何地点上传和下载数据,也可以使用WEB页面对数据进行管理。同时,OSS提供Java、Python、PHP SDK,简化用户的编程。基于OSS,用户可以搭建出各种多媒体分享网站、网盘、个人企业数据备份等基于大规模数据的服务。

阿里云OSS最近上线了一项域名绑定bucket的服务,这个服务有个非常奇葩的设定,
OSS的访问路径为域名(可以是自己的域名CNAME到OSS的域名即可)、bucket、object
访问链接示例:http://oss.aliyuncs.com/tools/mujj.txt tools为bucket,mujj.txt为object

阿里云oss拥有一个公用域名 oss.aliyuncs.com 在这项绑定域名到bucket上线的时候我绑定了 oss.aliyuncs.com (绑定的时候没有提示任何东西,直接成功)。

由于oss.aliyuncs.com是很早就解析到oss服务的,那么我就可以使用oss.aliyuncs.com/mujj.txt 来访问我的文件;
这下玩大了,任何使用oss公用域名服务的用户访问他们的buckect/object都会返回404,因为域名在我的buckect上绑定着呢,只能我用;
其他人访问因为路径链接错误都是404,瞬间就爆了OSS所有用户的菊花。

除了这个公用域名以外还有没有用户自行CNAME到OSS的域名,但是没有绑定到bucket的都可以直接绑上去。

如果我根据Referer和错误返回状态码来创建bucket和object,那么岂不是想给哪个站挂个马什么的就给哪个站挂个马么(当然,这是YY)。

短短的10来分钟就200多万的PV。

Unnamed QQ Screenshot20130424210137

Unnamed QQ Screenshot20130424210100

Unnamed QQ Screenshot20130424210233

Unnamed QQ Screenshot20130424210156

Unnamed QQ Screenshot20130424205915

这是一个很坑爹的设定,首先是没有检测域名所有权就让用户绑定了,检测的方法太多了比如:whois邮箱信息验证、添加一条特定的解析记录验证、人工审核等等。再就是没有保留特殊域名,这就和我玩私服的时候创建一个管理员预留的GM角色即可上线刷装备一样坑爹。

经过反馈,阿里云已经下线了此服务,但是坑爹的我依然发现只是界面上没有了,但是已经绑定的不会被取消,比如:http://oss.80host.com/mujj.txt


阿里云OSS的奇怪设定》有 2 条评论

  1. John Shine 说:

    阿里云这种bug都有,太粗心大意了