şifreler yerine rastgele URL'ler kullanmak uygun mudur? [kapalı]

Bunun gibi rastgele karakterlerden oluşturulan URL'yi kullanmak "güvenli" kabul edilir mi?

http://example.com/EU3uc654/Photos

Bir web sunucusuna yalnızca küçük bir kullanıcı grubu tarafından erişilebilen bazı dosyalar / resim galerileri koymak istiyorum. Benim asıl endişe, dosyaları arama motorları veya sitem etrafında poke meraklı güç kullanıcıları tarafından alınmamalı olmasıdır.

Bir .htaccess dosyası oluşturdum, sadece http://user:pass@url/bağlantıları tıklamanın bazı tarayıcılar / e-posta istemcileri ile iyi çalışmadığını, çok bilgisayar meraklısı olmayan kullanıcıları karıştırdığım iletişim kutuları ve uyarı mesajlarını istediğini fark ettim.

"İyi" olup olmadığı görüntülerin ne kadar hassas olduğuna bağlıdır.

SSL kullanmıyorsanız, URL'ler, HTML ve resimler kullanıcılarınızın bilgisayarlarında önbelleğe alınır. Bu olabilir sızıntı ama olası ele alacak.

Tarayıcı araç çubukları, özellikle Alexa ve Netcraft gibi tarayıcılar çalıştıran şirketler tarafından yapılanlar, ziyaret edilen URL'leri ana sitelerine geri gönderebilir ve botun daha sonra gelip taramasına hazır olabilir.

HTTP kimlik doğrulaması veya POST değişkeni gibi uygun kimlik doğrulaması bu şekilde önbelleğe alınamaz veya herhangi bir üst web sitesine rapor edilmemelidir.

Başka bir teknik, benzersiz ve kısa ömürlü URL'ler kullanmaktır. Bu şekilde sızıntı yapsalar bile önemli değil. Elbette, yeni URL'lerin yasal kullanıcılarını güncellemeye devam etmelisiniz.

Hayır, tam olarak değil, bu sadece hiçbir güvenlik olmayan muğlaklıkla bir güvenlik. Herhangi bir gerçek koruma olmadan internetten doğrudan erişilebilen her şey bulunur, dizine eklenir ve önbelleğe alınır.

Yol boyunca her proxy'ye giriş yapacaklar. Birisi bağlantıyı gerçekten yayınlamadığı sürece meraklı güç kullanıcıları ve arama motorlarından güvende olacaksınız.

Ve elbette jeneratörünüzün rastgele olmasına dikkat edin.

Sanırım burada süper yüksek güvenlik aramıyorsunuz.

Şifreli bir URL, tek kullanımlık indirmeler için kullanışlıdır, ancak gerçek bir koruma sağlamaz. Öyle varsa sitenizde bulunan herhangi bir bağlantı herhangi bir yerde klasör örtülü yol açan, tüm botlar robots.txt dosyanızı dikkate farkında olmak gerekir olacak bazı arama motorları tarafından dizine ve bu kez başladığında hiçbir gidiş arka tarafta.

Bunun yerine basit bir .htaccess tabanlı kimlik doğrulama sistemi kullanmanızı veya ne teklif ettiğinizi öneririm.

Bu örnek gibi gizlenmiş URL'lere başka, belki daha korkutucu bir bakış açısı eklemek istiyorum. URL'niz yanlışlıkla paylaşılmasa bile, arama motorlarına şu yollarla gönderilebilir:

• Bir ziyaretçinin İSS'si. HTTP ziyaretleri toplanıyor, veri çıkarılıyor ve hatta bazen ISS'ler tarafından üçüncü taraflara satılıyor.
• Bir ziyaretçinin Bulut Deposu. Tarayıcı yüklemeleri arasında ücretsiz senkronizasyon için yer imlerini ve geçmişi depolayan bir dizi hizmet vardır. Mozilla gibi verileri önceden şifrelemedikçe, aynı veri madenciliği uygulamaları da ima edilebilir.

YMMV.

Geçmişte, kullanıcıların bir belge yönetim sisteminde paylaşım alanları oluşturmasına izin vermek için benzer bir yöntem kullandım. Paylaşılan içerik çok gizli değildi, bu yüzden sistemin ultra güvenli olması gerekmiyordu.

Her kullanıcının URL'sinin bir süre sonu zaman damgası ve e-postalarının MD5'ini içermesini sağladım.

URL şöyle görünüyordu:

http://my-url.com/1343689677-cba1f2d695a5ca39ee6f343297a761a4/

Yukarıdakilerle birlikte, kullanıcı 30 Temmuz'dan önce user@gmail.com adresine e-posta gönderirse, gitmek iyi olur.

Tam olarak askeri sınıf güvenlik değil, iş yaptı.

Bu, sessionID'yi URL'de saklamakla aynı güvenlik açığını paylaşır. Birisi, bağlantıyı yanlışlıkla başkalarına kopyalayıp yapıştırabilir, bir ekran görüntüsünde sansürlemeyi unutabilir veya şifreler gibi yıldızlarla işaretlenmediğinden birinin aramasına izin verebilir.

Ayrıca, bazı içerikler parola korumalıysa, giriş yaparak bunun bir sır olduğunu bilirsiniz. Bir bağlantı alırsanız, kolayca unutabilirsiniz.

Başka bir şey, kullanıcı ayrıcalıklarını kaldırmaktır. Bir kullanıcıyı silebilirsiniz, böylece artık giriş yapamaz, ancak bağlantılarla Hepsini değiştirmeniz ve herkese (silinen kullanıcı hariç) yeni URL'ler göndermeniz gerekir.

Bence bunlar sadece imge ise kötü değil. Ama eğer bunlar gerçekten paylaşmak isteyeceğiniz bazı resimler ise;) o zaman daha uzun rastgele bir kelime kullanmanızı öneririm, daha çok sunulan bir dave e gibi.

DÜZENLEME: URL'ye? DO_NOT_SHARE_THIS_LINK ekleyin: http://example.com/DO_NOT_SHARE_THIS_LINK/EU3uc654-this-should-be-longer/Photos?DO_NOT_SHARE_THIS_LINK

Örneğin Kongregate, başka bir yerde barındırılan oyunları yerleştirirken bunu yapar (auth kimlik bilgilerini çerçevenin URL'sine yerleştirir). BTW, Kongregate, yayınlanmamış oyunlar için konuk erişim bağlantılarını da tam da kullanmak istediğiniz şekilde kullanır.