秘密网址真的安全吗?

我从不在我的系统中留下后门,但出于好奇,我想知道我是否留下了像/ x52d23r那样允许绕过某种安全性的秘密URL,这仅供我个人使用---会以某种方式通过某种方式发现没有得到我的信息的第三方? 例如,秘密端口可以进行端口扫描和指纹识别,但是对于秘密URL可以采用相同的策略吗?     
2019-09-14 9 条评论
分享

没有找到相关结果

    已邀请:

    峨躬坎抬焚

    原始答案:通过默默无闻的安全是永远不应该实践的。 我想扩展这一点,因为我看到一些争论仍然是秘密URL与密码没有区别。我非常不同意这种比较。秘密URL和密码确实共享一个类似的特征:一个或多个特定的人/人都知道它们。这就是相似性结束的地方。 密码强度 从一系列随机单词中输入密码会使密码非常强大,很难猜测或暴力破解。 密码必须与用户名相结合,如果用户名不常见,也可以提高安全性。 用户名和密码组合不会静态显示在屏幕上,也不会存储在浏览器中的任何位置(除非您选择让浏览器“保存”您的登录凭据)。 在违规的情况下可以更改密码,而无需将入口点更改为系统。 好的密码系统不会以纯文本形式存储在文件系统中。 秘密URL的弱点 除非在“隐身”,“私人”等模式下使用,否则URL将存储在您的本地历史记录/缓存中。 URL显示在浏览器窗口中,可以隐藏在流浪的眼睛中。 如果秘密URL被泄露,您必须更改它并通知使用它的任何人。 URL在服务器某处以纯文本形式存在,无论是作为真实目录/文件还是作为重写(但是,重写可能会在更高级别下降)。 @Mike Clark在答案中提到的其他一切。 真正归结为: 秘密URL只是通过默默无闻来实现安全性。而已。 根据定义,密码可能是模糊信息,但围绕密码采取的额外措施,预防措施和保护措施可以在此基础上增加一定程度的安全性。换句话说,密码是分层的,除了默默无闻之外,还通过其他方式实施安全性。反过来,这使它们成为比简单的模糊URL更好的选择。 建议:同时使用“秘密”URL和非常强大的用户名/密码组合。不要依赖JUST一个“秘密”URL。 绝不使用默默无闻作为唯一保护措施来实施安全措施。     
    2019-09-14 0 0
    分享

    缮淳彼誊

    使用“秘密URL”的原因通常是不安全的,因为它是“通过默默无闻的安全”。在信息理论中,秘密URL与密码或私钥没有区别。密码和私钥是否被认为是一种糟糕的做法,因为它们是“通过默默无闻的安全”?没有。 那么难以猜测的URL和难以猜测的密码有什么区别? 区别在于存储,显示和传输URL的无数不安全的地方和方式。例子: 在Web浏览器地址栏,历史记录和缓存中* 发送到其他站点的HTTP Referer标头* 在Web服务器访问日志中* 在代理和第7层防火墙访问日志中 在数据包转储中 在网络统计信息流量报告中(例如AWStats,Google Analytics)* HTTPS可以保护其中的一些,但不能保护所有这些(标有*的项目不受使用HTTPS的保护。) 在高度受控的环境中,难以猜测的URL可以是安全的。但是,当使用常见的Web浏览器,Web服务器和Web框架时,除非不存在其他选项,否则不应依赖难以猜测的URL(即使这样您也应该仔细考虑)。     
    2019-09-14 0 0
    分享

    纤洞需匪

    这不安全。 对于HTTP流量,您的秘密URL一旦使用它就会立即公开。在没有任何密码保护的情况下,收听网络流量的窃听者可以看到您发送的URL,然后访问同一页面。     
    2019-09-14 0 0
    分享

    屡倒雷图

    不好主意,因为: 有人可能会透露您的网址是否可以获得对您的系统/数据库/应用程序的本地访问权限 有一天,一些管理员会将您的访问日志文件公开,谷歌会找到它们。 您将在服务器设置中迁移/升级某些内容,并忘记保护/隐藏这些网址     
    2019-09-14 0 0
    分享

    雇砰

    我会说如果你小心他们可以安全。最大的安全漏洞是使用它的人。它将被无意中分享或发布到Google将其编入索引的地方。为此设计并适当使用它 - 例如Google文档“任何有此链接的人”共享方法。 使用HTTPS 停止以纯文本格式发送的URL 如果单击HTTP链接,则不设置引用标头 如果人们通过HTTP访问您的秘密URL,请警告他们并立即更改它 通过默默无闻是不安全的 - 这是对这句话的正常使用的误解。   “一个依靠安全的系统   默默无闻可能有理论或   实际的安全漏洞,但是   它的主人或设计师相信   这些缺陷是未知的   攻击者不太可能找到它们。“ 相比之下,您对实施和设计持开放态度。 我没有看到,当使用长密码URL(任何64个字符?2000 - domain_length?)与tar-pit结合使用时,这不比普通密码安全。 我打算在一个应用程序中使用它,我觉得人们会认为简单性高于安全性。     
    2019-09-14 0 0
    分享

    冲汉

    Waterken Web服务器是一个网络平台,由惠普的安全人员围绕秘密(特别是密码学上不可取的)URL进行研究。 因此构建的应用程序具有一些非常有趣的安全属性。 如果做得好,加密强大的秘密URL可以提供高级别的安全性。 ACLs不是来自waterken团队的安全架构的论文。   将建议的防御与编译方案的基于功能的解决方案进行比较,并再次进行   假设一个类Unix系统:URL就像   科幻lename;而不可思议的令牌就像一个文件   描述符,近似于具有不可思议性的能力的不可伪造性。来自的合法页面   股票经纪人的网站首先打开股票购买   资源,收到一个不可饶恕的秘密。浏览器   然后使用这个不可思议的秘密写入股票   购买资源。     
    2019-09-14 0 0
    分享

    荤碗

      如果没有得到我的信息,第三方会以某种方式发现它吗?   例如,秘密端口可以进行端口扫描和指纹识别,但是对于秘密URL可以采用相同的策略吗? 是。您正在考虑将这种威胁视为坐在计算机上的人在其浏览器中键入URL。现实情况是,攻击者使用自动程序对系统进行侦察,并使用该信息尝试各种攻击。尝试随机URL对于自动化系统来说几乎没有成本,而不是每秒产生数百个HTTP请求。其他人已经注意到,一旦你使用了URL,它就不再是秘密了。这些自动程序会收听互联网流量并收集URL以尝试攻击。只有您知道URL的事实意味着没有其他人可以泄露其价值。它并不妨碍技术手段泄露价值。     
    2019-09-14 0 0
    分享

    磐剩

    如果你使用一个大的,随机生成的url,这实际上是一个非常合理的想法。有许多系统实际上已经这样工作了。 例如,在Google文档中,您可以创建一个链接,任何拥有该链接的人都可以编辑该文档。这是足够长的,你永远不可能猜到这个链接。此外,密码重置链接基本上是这样,除了它们(希望)只能使用一次。 (见下文) 你需要确保秘密不会泄露。这意味着使用https,不记录访问,或在其他api调用中返回密码。 也就是说,正如许多上述评论者所提到的,URL会存储在您计算机上各种不安全的地方,但如果攻击者可以访问您的计算机,那么您已经搞砸了。假设您的最终用户设备是安全的,这是很典型的。 此外,任何秘密只是秘密与有多少人知道的秘密成反比。与其他需要访问权限的人共享网址可能很诱人。一个更好的系统可能是让每个URL工作一次,但是向用户的浏览器添加一个cookie,这是实际的令牌。 基本上,就像密码重置流程/电子邮件确认流程,除了没有密码。     
    2019-09-14 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.045961141586304