czy można używać losowych adresów URL zamiast haseł? [Zamknięte]

Czy używanie adresu URL zbudowanego z takich losowych znaków jest uważane za „bezpieczne”?

http://example.com/EU3uc654/Photos

Chciałbym umieścić kilka plików / galerii zdjęć na serwerze internetowym, do których dostęp ma tylko niewielka grupa użytkowników. Moją główną obawą jest to, że pliki nie powinny być pobierane przez wyszukiwarki lub ciekawskich zaawansowanych użytkowników, którzy przeglądają moją stronę.

Skonfigurowałem plik .htaccess, aby zauważyć, że klikanie http://user:pass@url/łączy nie działa dobrze w niektórych przeglądarkach / klientach e-mail, monitowanie okien dialogowych i komunikatów ostrzegawczych, które dezorientują moich niezbyt wybrednych użytkowników.

To, czy jest to „w porządku”, czy nie, zależy od czułości obrazów.

Jeśli nie używasz protokołu SSL, adresy URL, HTML i same obrazy będą buforowane na komputerach użytkowników. Może to przeciekać, ale uważam to za mało prawdopodobne.

Paski narzędzi przeglądarki, zwłaszcza te tworzone przez firmy, które obsługują roboty, takie jak Alexa i Netcraft, mogą zgłaszać odwiedzane adresy URL z powrotem do swoich stron nadrzędnych, gotowe do uruchomienia bota i zaindeksowania go później.

Prawidłowe uwierzytelnianie, takie jak uwierzytelnianie HTTP lub zmienna POST, nie powinno być w ten sposób buforowane ani przekazywane do żadnej strony nadrzędnej.

Inną techniką jest używanie unikalnych i krótkotrwałych adresów URL. W ten sposób, nawet jeśli przeciekają, nie ma to większego znaczenia. Oczywiście musisz aktualizować legalnych użytkowników nowych adresów URL.

Nie, nie do końca, to tylko bezpieczeństwo poprzez zaciemnienie, które w ogóle nie jest zabezpieczeniem. Wszystko, co jest bezpośrednio dostępne z Internetu bez jakiejkolwiek formy prawdziwej ochrony, zostanie znalezione, zindeksowane i zapisane w pamięci podręcznej.

Będą oni zalogowani w każdym proxy po drodze. Będziesz bezpieczny od ciekawskich zaawansowanych użytkowników i wyszukiwarek, chyba że ktoś faktycznie opublikuje link.

I oczywiście uważaj na losowość generatora.

Zgaduję, że nie szukasz tutaj super-wysokiego bezpieczeństwa.

Zaszyfrowany adres URL jest przydatny do jednorazowego pobrania, ale nie zapewnia rzeczywistej ochrony. Musisz pamiętać, że nie wszystkie boty honorują plik robots.txt, więc jeśli w Twojej witrynie jest jakikolwiek link prowadzący do ukrytego folderu, zostanie on zindeksowany przez niektóre wyszukiwarki, a po uruchomieniu nie będzie powrotu.

Sugerowałbym użycie prostego systemu uwierzytelniania opartego na .htaccess zamiast lub oprócz tego, co proponujesz.

Chciałbym dodać inną, może bardziej przerażającą perspektywę zaciemnionych adresów URL, takich jak ten przykład. Nawet jeśli Twój adres URL nie zostanie przypadkowo udostępniony, może zostać przesłany do wyszukiwarek przez:

• ISP odwiedzającego. Wizyty HTTP są gromadzone, analizowane, a czasem wręcz sprzedawane stronom trzecim przez dostawców usług internetowych.
• Cloud Storage dla odwiedzających. Istnieje wiele usług przechowujących zakładki i historię do bezpłatnej synchronizacji między instalacjami przeglądarki. O ile nie zaszyfrują danych tak jak Mozilla, można implikować te same praktyki eksploracji danych.

YMMV.

W przeszłości korzystałem z podobnej metody, aby umożliwić użytkownikom tworzenie przestrzeni współdzielonych w systemie zarządzania dokumentami. Udostępniane treści nie były ściśle tajne, więc system nie musiał być bardzo bezpieczny.

Właśnie sprawiłem, że adres URL każdego użytkownika zawiera znacznik czasu wygaśnięcia i MD5 ich wiadomości e-mail.

SO URL wyglądał następująco:

http://my-url.com/1343689677-cba1f2d695a5ca39ee6f343297a761a4/

z powyższym, jeśli użytkownik wprowadzi adres e-mail użytkownik@gmail.com przed 30 lipca, będzie dobrze.

Nie do końca wojskowy poziom bezpieczeństwa, ale zadziałał.

Działa to tak samo, jak przechowywanie sessionID w adresie URL. Ktoś może przypadkowo skopiować i wkleić link do innych, zapomnieć cenzurować go na zrzucie ekranu lub pozwolić komuś na sprawdzenie go, ponieważ nie jest on oznaczony gwiazdką jak hasła.

Ponadto, jeśli niektóre treści są chronione hasłem, po zalogowaniu się wiesz, że jest to tajemnica. Jeśli otrzymasz link, możesz łatwo go zapomnieć.

Kolejną rzeczą jest usunięcie uprawnień użytkownika. Możesz usunąć użytkownika, aby nie mógł się już zalogować, ale z linkami Musisz zmienić je wszystkie i wysłać wszystkim (oprócz usuniętego użytkownika) nowe adresy URL.

Myślę, że nie jest źle, jeśli są to tylko obrazy. Ale jeśli są to zdjęcia, które naprawdę, naprawdę nie lubisz dzielić;), sugeruję, abyś użył dłuższego losowego słowa, bardziej jak ten przedstawiony.

EDYCJA: Dodaj? DO_NOT_SHARE_THIS_LINK do adresu URL: http://example.com/DO_NOT_SHARE_THIS_LINK/EU3uc654-to- powinien- być- dłuższy-/Dzięki?

Tak właśnie działa Kongregate, osadzając gry hostowane gdzie indziej (umieszcza dane uwierzytelniające w adresie URL ramki). BTW, Kongregate korzysta również z linków dostępu gości do niepublikowanych gier, dokładnie tak, jak chcesz.