чи добре використовувати випадкові URL-адреси замість паролів? [зачинено]

Чи вважається "безпечним" використовувати URL-адресу, побудовану з таких випадкових символів?

http://example.com/EU3uc654/Photos

Я хотів би розмістити деякі файли / галереї зображень на веб-сервері, доступ до якого має лише невелика група користувачів. Моє основне занепокоєння полягає в тому, що файли не повинні збиратись пошуковими машинами або допитливими енергокористувачами, які б’ють навколо мого сайту.

Я створив http://user:pass@url/.

Буде це "добре" чи ні, залежить від того, наскільки чутливі зображення.

Якщо ви не використовуєте SSL, URL-адреси, HTML та самі зображення будуть кешовані на комп'ютерах вашого користувача. Це може витікати, але я вважаю це малоймовірним.

Панелі інструментів веб-переглядача, особливо ті, що виробляються компаніями, які працюють із сканерами, такими як Alexa та Netcraft, можуть повідомляти про відвідувані URL-адреси на свої батьківські сайти, готові бот прийти та сканувати пізніше.

Належна аутентифікація, така як HTTP auth або змінна POST, не повинна кешуватися таким чином або повідомлятися на будь-якому батьківському веб-сайті.

Ще одна методика - використовувати унікальні та короткочасні URL-адреси. Таким чином, навіть якщо вони просочуються, це не має великого значення. Звичайно, вам доведеться постійно оновлювати законних користувачів нових URL-адрес.

Ні, насправді це просто безпека через неясність, яка взагалі не є безпекою. Все, що безпосередньо доступне з Інтернету без якоїсь форми реального захисту, буде знайдено, індексовано та кешовано.

Вони будуть зареєстровані у кожному проксі-сервері по дорозі. Ви будете в безпеці від допитливих користувачів енергії та пошукових систем, якщо хтось фактично не опублікує посилання.

І слідкуйте за випадковістю вашого генератора, звичайно.

Я здогадуюсь, ви тут не шукаєте надвисокої безпеки.

Криптична URL-адреса зручна для одноразового завантаження, але не забезпечує реального захисту. Вам потрібно пам’ятати, що не всі боти шанують файл robots.txt, тому якщо на вашому веб-сайті є якесь посилання, яке веде до замаскованої папки, воно буде індексовано деякими пошуковими системами, і після того, як він запуститься, немає повернення назад.

Я б запропонував використовувати просту систему аутентифікації на основі .htaccess або на додаток до того, що ви пропонуєте.

Я хотів би додати ще одну, можливо, більш страшну точку зору на неясні URL-адреси, як цей приклад. Навіть якщо Ваша URL-адреса не надана невірно, вона може бути надана пошуковим системам:

• Інтернет-провайдер відвідувача. Відвідини HTTP збираються, передаються в дані та іноді навіть прямо продаються третім сторонам провайдерами.
• Хмарне сховище для відвідувачів. Існує ряд служб, що зберігають закладки та історію безкоштовно для синхронізації між установками браузера. Якщо вони заздалегідь не зашифрують дані, як це робить Mozilla, можуть бути використані ті самі методи вилучення даних.

YMMV.

Раніше я використовував подібний метод, щоб дозволити користувачам створювати спільні простори в системі управління документами. Спільний вміст не був найпотаємнішим, тому системі не потрібно було бути надто захищеним.

Щойно я зробив URL-адресу кожного користувача, що містить часову позначку та термін дії електронної пошти MD5.

Так URL-адреса виглядала так:

http://my-url.com/1343689677-cba1f2d695a5ca39ee6f343297a761a4/

З вищезазначеним, якщо користувач введе електронну пошту user@gmail.com до 30 липня, їм було б добре піти.

Не зовсім військовий клас безпеки, але зробив цю роботу.

Це подібна вразливість, як зберігання sessionID в URL. Хтось може випадково скопіювати та вставити посилання на інших, забути провести цензуру на скріншоті або дозволити комусь подивитися, оскільки це не вказано зірочкою, як паролі.

Крім того, якщо якийсь вміст захищений паролем, увійшовши в систему Ви знаєте, що це секрет. Якщо ви отримаєте посилання, ви можете легко його забути.

Інша справа - це видалення прав користувача. Ви можете видалити користувача, щоб він більше не міг увійти, але за допомогою посилань Вам потрібно змінити їх усіх і надіслати всім (крім видаленого користувача) нові URL-адреси.

Я думаю, що непогано, якщо це просто зображення. Але якщо це якісь образи, якими ви б дійсно не хотіли ділитися;), то я пропоную вам використовувати довші випадкові слова, більш схожі на представлене Дейв е.

EDIT: Додайте? DO_NOT_SHARE_THIS_LINK до URL: http://example.com/DO_NOT_SHARE_THIS_LINK/EU3uc654-this-should-be-longer/Photos?DO_NOT_SHARE_THIS_LINK

Це те, що, наприклад, Kongregate робить, коли вбудовуються ігри, розміщені в іншому місці (він ставить автентичні облікові дані в URL-адресу кадру). BTW, Kongregate також використовує гостьові посилання для доступу до неопублікованих ігор, як саме ви хочете використовувати.