Можно ли использовать случайные URL-адреса вместо паролей? [closed]
Считается ли «безопасным» использование URL, созданного из случайных символов, например это?
http://example.com/EU3uc654/Photos
Я хотел бы разместить на веб-сервере несколько файлов / галерей изображений, которые будут доступны только небольшой группе пользователей. Мое главное беспокойство заключается в том, чтобы файлы не попадали в руки поисковых систем или любопытных опытных пользователей, которые копошатся по моему сайту.
Я создал файл .htaccess, чтобы заметить, что нажатие на ссылку http: // user: pass @ url / не работает с некоторыми браузерами / почтовыми клиентами, вызывая диалоговые окна и предупреждающие сообщения, которые сбивают с толку моих пользователей, не слишком разбирающихся в компьютерах.
"Хорошо" это или нет, зависит от того, насколько чувствительны изображения.
Если вы не используете SSL, URL-адреса, HTML и сами изображения будут кэшироваться на вашем пользователе. компьютеры. Это может утечка, но я считаю это маловероятным.
Панели инструментов браузера, особенно те, которые созданы компаниями, которые запускают сканеры, такие как Alexa и Netcraft, могут сообщать о посещенных URL-адресах обратно на свои родительские сайты, готовые для бот придет и просканирует позже.
Правильная аутентификация, такая как HTTP-аутентификация или переменная POST, не должна кэшироваться таким образом или передаваться на какой-либо родительский веб-сайт.
Другой метод - использовать уникальные и недолговечные URL-адреса. Таким образом, даже если они протекают, это не имеет большого значения. Конечно, вы должны постоянно обновлять своих законных пользователей о новых URL.
Они будут регистрироваться в каждом прокси на этом пути. Вы будете в безопасности от любопытных опытных пользователей и поисковых систем, если только кто-то на самом деле не опубликует ссылку.
И, конечно же, следите за случайностью вашего генератора.
Я предполагаю, что вы не ищете супер- здесь высокий уровень безопасности.
Нет, на самом деле нет, это просто защита через неизвестность , которая вообще не является защитой. Все, что напрямую доступно из Интернета без какой-либо реальной защиты, будет найдено, проиндексировано и кэшировано.
Загадочный URL-адрес удобен для одноразовых загрузок, но не обеспечивает реальной защиты. Вы должны знать, что не все боты соблюдают файл robots.txt, поэтому, если на вашем сайте есть какая-либо ссылка, ведущая на замаскированную папку, она будет проиндексирована некоторыми поисковыми системами, и после того, как она начнется там пути назад нет.
Я бы предложил использовать простую систему аутентификации на основе .htaccess вместо или в дополнение к тому, что вы предлагаете.
Я хотел бы добавить еще одну, может быть, более пугающую точку зрения на обфусцированные URL-адреса, подобные этому примеру. Даже если ваш URL не передан случайно, он может быть отправлен поисковым системам через:
- Интернет-провайдер посетителя. HTTP-посещения собираются, анализируются и иногда даже напрямую продаются третьим лицам интернет-провайдерами.
- Облачное хранилище посетителя. Существует ряд сервисов, хранящих закладки и историю бесплатно для синхронизации между установками браузера. Если они не зашифруют данные заранее, как это делает Mozilla, могут подразумеваться те же методы интеллектуального анализа данных.
YMMV.
В прошлом я использовал аналогичный метод, чтобы позволить пользователям создавать общие пространства в системе управления документами. Общий контент не был совершенно секретным, поэтому система не должна была быть сверхбезопасной.
Я просто заставил URL каждого пользователя содержать отметку времени истечения срока действия и MD5 их электронной почты.
ТАК, URL выглядел так:
http://my-url.com/1343689677-cba1f2d695a5ca39ee6f343297a761a4/
с указанным выше, если пользователь введет адрес электронной почты user@gmail.com до 30 июля, они будут в порядке.
Не совсем охрана военного уровня, но свое дело сделала.
Эта уязвимость имеет ту же уязвимость, что и сохранение идентификатора сеанса в URL . Кто-то может случайно скопировать и вставить ссылку другим, забыть подвергнуть ее цензуре на снимке экрана или позволить кому-то найти ее, поскольку она не помечена звездочкой, как пароли.
Кроме того, если какой-то контент защищен паролем, войдя в систему. это секрет. Если Вы получили ссылку, то можете легко ее забыть.
Еще одна вещь - это удаление прав пользователя. Вы можете удалить пользователя, чтобы он больше не мог входить в систему, но со ссылками Вам нужно будет изменить их всех, и отправить всем (кроме удаленного пользователя) новые URL.
Я думаю, неплохо, если это будут просто изображения. Но если это какие-то изображения, которыми вы действительно не хотели бы делиться;) тогда я предлагаю вам использовать более длинные случайные слова, больше похожие на то, что представил Дэйв Э.
РЕДАКТИРОВАТЬ: Добавьте? DO_NOT_SHARE_THIS_LINK в URL: http://example.com/DO_NOT_SHARE_THIS_LINK/EU3uc654-this-should-be-longer/Photos?DO_NOT_SHARE_THIS_LINK
Это то, что, например, Kongregate делает при встраивании игр, размещенных в другом месте (он помещает учетные данные в URL-адрес фрейма). Кстати, Kongregate также использует ссылки гостевого доступа для неопубликованных игр, именно так, как вы хотите.