Kargari
2018-06-19 09:57:36 UTC
說,我的服務器上有一個我想保密的頁面或文件夾。
example.com/fdsafdsafdsfdsfdsafdrewrewrew.html 或
example.com/fdsafdsafdsfdsfdsafdrewrewaa34532543432/admin/index.html 如果路徑的秘密部分很長,我可以假設擁有這樣一個秘密頁面或區域是安全的,並且很難猜測或強行使用它嗎?
這種方法通常有什麼問題?
請注意,我並不是在問如何正確執行此操作,但是如果有的話,這種方法可能會帶來什麼問題。
如果您的機器是安全的(https,良好的wifi等),並且您從未公開鏈接到該秘密URL,那麼外人很難猜測一個長的靜態URL。
哦,您已經關閉了建議路徑的目錄列表和“智能錯誤”頁面...
請注意,某些成熟的Web服務(例如Google Docs(具有按鏈接共享功能)和Overleaf(協作的在線Latex編輯器)等公認的Web服務認為這種做法“足夠好”。
@FedericoPoloni: Google可能會跟踪批量請求並最終阻止它們。沒有適當的設置,通過暴力破解(相對於URL的長度)很可能成功。
某些網站會這樣做,例如用於密碼重置鏈接。如果您決定走這條路,最安全的選擇就是將機密設為GET參數(即index.html?secret = hjasdhasdhasdasd),以避免緩存和機械手意外絆倒您的鏈接,並將其設為“臨時”
密碼重置鏈接中的@BgrWorker令牌應僅使用一次,然後丟棄。OP要求的是可以重用的固定值,而不是
完全一樣的東西
只要該路徑從未公開過,就很難猜測,但是這是通過隱蔽性實現的安全性,因此URL並沒有真正的安全性。我的建議是將其擴展一點,並使url哈希動態化,因此所有index.html都將被命中,它將在不同但已知的路徑上進行,在某些框架中比其他框架更容易實現。
如果是通過https進行的,那還不如傳遞密碼或也可用於其他目的的密碼那麼糟糕。
@FedericoPoloni Google Docs是否不允許將訪問限制為某些帳戶,所以其他人即使猜測了URL也無法訪問?並且Overleaf V2默認情況下保持鏈接共享關閉。
@GoodDeeds鏈接共享是Google文檔允許的共享選項之一。您還可以決定共享到特定帳戶,但這是另一回事。
從本質上講,這基本上是安全性,而僅憑它本身是遠遠不夠的。
@CompuChip不,不是。密碼就是“默默無聞的安全”,因為不是每個人都知道密碼。
@DrEval也許我當時誤解了這個問題,但是我讀到的是OP只是想通過使URL難以猜測而不是適當地保護它來掩蓋該頁面,例如使用密碼。
@CompuChip如果URL足夠安全,它將“成為”密碼。它仍然是不安全的,因為這不是傳輸密碼的好方法,但是它並不是通過隱秘來保證安全性。
如果您有一個robots.txt文檔,該文檔可以提供一些網址,但是如果它們是秘密的機會,則永遠不要將它們放在robots.txt中。
如果有人可以查看Web服務器日誌,則可以找到所有這些有趣的URL。
還與之相關:[猜測Google文檔鏈接的可能性有多低?](https://security.stackexchange.com/questions/29449/how-unlikely-is-it-that-a-google-doc-link-被猜測)
請訪問[“通過晦澀難懂的安全性是個壞主意”)(https://stackoverflow.com/questions/533965/why-is-security-through-obscurity-a-bad-idea)。