Можно ли использовать случайные URL-адреса вместо паролей? [закрыто]

Считается ли это «безопасным» для использования URL, созданного из случайных символов, как это?

http://example.com/EU3uc654/Photos

Я хотел бы разместить на веб-сервере несколько файлов / картинных галерей, которые будут доступны только небольшой группе пользователей. Моя главная проблема заключается в том, что файлы не должны подбираться поисковыми системами или любопытными продвинутыми пользователями, которые копаются в моем сайте.

Я настроил файл .htaccess, просто чтобы заметить, что нажатие на http://user:pass@url/ссылки не работает с некоторыми браузерами / почтовыми клиентами, вызывает диалоговые окна и предупреждающие сообщения, которые сбивают с толку моих пользователей, не слишком разбирающихся в компьютерах.

«Хорошо» или нет, зависит от того, насколько чувствительны изображения.

Если вы не используете SSL, URL-адреса, HTML и сами изображения будут кэшироваться на компьютерах вашего пользователя. Это может протечь, но я считаю это маловероятным.

Панели инструментов браузера, особенно созданные компаниями, которые используют сканеры, такие как Alexa и Netcraft, могут сообщать о посещенных URL-адресах обратно на родительские сайты, готовые к тому, что бот будет приходить и сканировать позже.

Правильная аутентификация, такая как HTTP-аутентификация или переменная POST, не должна кэшироваться таким образом или передаваться на какой-либо родительский веб-сайт.

Другой метод заключается в использовании уникальных и недолговечных URL. Таким образом, даже если они протекают, это не имеет большого значения. Конечно, вы должны постоянно обновлять ваши законные пользователи новых URL-адресов.

Нет, не совсем, это просто безопасность через неизвестность, которая вовсе не является безопасностью. Все, что напрямую доступно из Интернета без какой-либо формы реальной защиты, будет найдено, проиндексировано и кэшировано.

Они будут зарегистрированы в каждом прокси по пути. Вы будете защищены от любопытных продвинутых пользователей и поисковых систем, если только кто-то не опубликует ссылку.

И, конечно же, следите за случайностью вашего генератора.

Я предполагаю, что вы не ищете здесь сверхвысокую безопасность.

Загадочный URL удобен для одноразовых загрузок, но не обеспечивает реальной защиты. Вы должны знать, что не все боты соблюдают файл robots.txt, поэтому, если на вашем сайте есть какая-либо ссылка, ведущая на замаскированную папку, она будет проиндексирована некоторыми поисковыми системами, и как только она начнется, обратного пути не будет.

Я бы предложил вместо этого использовать простую систему аутентификации на основе .htaccess или в дополнение к тому, что вы предлагаете.

Я хотел бы добавить еще один, возможно, более пугающий взгляд на запутанные URL, как в этом примере. Даже если ваш URL не передан случайно, он может быть отправлен поисковым системам:

• Интернет-провайдер посетителя. Посещения по протоколу HTTP собираются, обрабатываются на основе данных и иногда даже напрямую продаются сторонним поставщикам услуг Интернета.
• Облачное хранилище посетителей. Существует ряд сервисов, которые хранят закладки и историю для бесплатной синхронизации между установками браузера. Если они предварительно не зашифруют данные, как это делает Mozilla, то могут подразумеваться те же методы добычи данных.

YMMV.

В прошлом я использовал подобный метод, чтобы позволить пользователям создавать общие области в системе управления документами. Общий контент не был сверхсекретным, поэтому система не должна была быть сверхбезопасной.

Я просто сделал, чтобы URL каждого пользователя содержал метку времени истечения и MD5 их электронной почты.

ТАК URL выглядит так:

http://my-url.com/1343689677-cba1f2d695a5ca39ee6f343297a761a4/

С учетом вышесказанного, если пользователь введет адрес электронной почты user@gmail.com до 30 июля, он будет хорош.

Не совсем военного уровня безопасности, но сделал работу.

Это разделяет ту же уязвимость, что и сохранение sessionID в URL. Кто-то может случайно скопировать и вставить ссылку на других, забыть цензурировать ее на скриншоте или позволить кому-то искать ее, поскольку она не помечена звездочкой, как пароли.

Кроме того, если какой-либо контент защищен паролем, войдя в систему, Вы знаете, что это секрет. Если вы получите ссылку, вы можете легко забыть ее.

Другое дело, удаление пользовательских привилегий. Вы можете удалить пользователя, чтобы он больше не мог войти, но со ссылками. Вам нужно будет изменить их всех и отправить всем (кроме удаленного пользователя) новые URL-адреса.

Я думаю, это не плохо, если это просто изображения. Но если это какие-то изображения, которыми вы бы действительно, на самом деле не хотели делиться;) тогда я предлагаю вам использовать более длинное случайное слово, больше похожее на одно из представленных dave.

РЕДАКТИРОВАТЬ: Добавить? DO_NOT_SHARE_THIS_LINK к URL: http://example.com/DO_NOT_SHARE_THIS_LINK/EU3uc654-this-should-be-longer/Photos?DO_NOT_SHARE_THIS_LINK

Это то, что, например, делает Kongregate при встраивании игр, размещенных в других местах (он помещает учетные данные аутентификации в URL фрейма). Кстати, Kongregate также использует ссылки гостевого доступа для неопубликованных игр, именно так, как вы хотите использовать.