va bene usare URL casuali invece di password? [chiuso]

È considerato "sicuro" usare un URL creato da caratteri casuali come questo?

http://example.com/EU3uc654/Photos

Vorrei mettere alcuni file / gallerie di immagini su un server web a cui può accedere solo un piccolo gruppo di utenti. La mia preoccupazione principale è che i file non debbano essere raccolti dai motori di ricerca o da curiosi utenti esperti che frugano nel mio sito.

Ho impostato un file .htaccess, solo per notare che fare clic sui http://user:pass@url/collegamenti non funziona bene con alcuni browser / client di posta elettronica, che richiede finestre di dialogo e messaggi di avviso che confondono i miei utenti non troppo esperti di computer.

Se va bene o no dipende dalla sensibilità delle immagini.

Se non si utilizza SSL, gli URL, l'HTML e le immagini stesse verranno memorizzati nella cache dei computer dell'utente. Ciò potrebbe fuoriuscire, ma lo riterrei improbabile.

Le barre degli strumenti del browser, in particolare quelle create da aziende che eseguono crawler, come Alexa e Netcraft, possono riportare gli URL visitati ai loro siti padre, pronti per il bot che verrà e scansionerà in seguito.

L'autenticazione corretta come l'autenticazione HTTP o una variabile POST non dovrebbe essere memorizzabile in questo modo o riportata su qualsiasi sito Web principale.

Un'altra tecnica consiste nell'utilizzare URL unici e di breve durata. In questo modo, anche se perdono, non importa molto. Ovviamente, devi continuare ad aggiornare i tuoi utenti legittimi dei nuovi URL.

No, non proprio, questa è solo sicurezza attraverso l'oscurità che non è affatto sicurezza. Tutto ciò che è direttamente accessibile da Internet senza alcuna forma di protezione reale verrà trovato, indicizzato e memorizzato nella cache.

Saranno registrati in ogni proxy lungo la strada. Sarai al sicuro da curiosi utenti esperti e motori di ricerca a meno che qualcuno non pubblichi effettivamente il link.

E attenzione alla casualità del tuo generatore, ovviamente.

Immagino che tu non stia cercando una sicurezza altissima qui.

Un URL criptico è utile per i download monouso ma non fornisce alcuna protezione reale. Devi essere consapevole del fatto che non tutti i robot onorano il file robots.txt, quindi se c'è qualche link in qualsiasi punto del tuo sito che porta alla cartella mascherata verrà indicizzato da alcuni motori di ricerca e una volta avviato non potrà tornare indietro.

Suggerirei invece di utilizzare un semplice sistema di autenticazione basato su .htaccess o in aggiunta a ciò che stai proponendo.

Vorrei aggiungere un'altra prospettiva, forse più spaventosa, su URL offuscati come questo esempio. Anche se il tuo URL non viene accidentalmente condiviso, può essere inviato ai motori di ricerca tramite:

• ISP di un visitatore. Le visite HTTP vengono raccolte, archiviate e talvolta vendute addirittura a terzi dagli ISP.
• Cloud Storage di un visitatore. Esistono numerosi servizi che memorizzano segnalibri e cronologia gratuitamente per la sincronizzazione tra le installazioni del browser. A meno che non pre-crittografino i dati come fa Mozilla, le stesse pratiche di data mining possono essere implicite.

YMMV.

In passato ho usato un metodo simile per consentire agli utenti di creare spazi di condivisione su un sistema di gestione dei documenti. Il contenuto condiviso non era un segreto, quindi il sistema non doveva essere ultra sicuro.

Ho appena creato l'URL di ciascun utente contenente un timestamp di scadenza e un MD5 della sua e-mail.

Quindi l'URL sembrava:

http://my-url.com/1343689677-cba1f2d695a5ca39ee6f343297a761a4/

con quanto sopra, se l'utente ha inserito l'e-mail user@gmail.com prima del 30 luglio, sarebbe bello andare.

Non esattamente sicurezza di livello militare, ma ha fatto il lavoro.

Questo condivide la stessa vulnerabilità dell'archiviazione di sessionID nell'URL. Qualcuno può copiare e incollare accidentalmente il collegamento su altri, dimenticare di censurarlo in uno screenshot o lasciare che qualcuno lo cerchi, poiché non è asterisco come una password.

Inoltre, se alcuni contenuti sono protetti da password, accedendo Sai che è un segreto. Se ottieni un link, puoi facilmente dimenticarlo.

Un'altra cosa è rimuovere i privilegi dell'utente. Puoi eliminare un utente, in modo che non possa più accedere, ma con i link Dovresti modificarli tutti e inviare a tutti (tranne l'utente eliminato) nuovi URL.

Penso che non sia male se queste sono solo immagini. Ma se queste sono alcune immagini che non vorresti davvero condividere;) allora ti suggerisco di usare parole casuali più lunghe, più simili a quelle presentate.

EDIT: Aggiungi? DO_NOT_SHARE_THIS_LINK all'URL: http://example.com/DO_NOT_SHARE_THIS_LINK/EU3uc654-this-should-be-longer/Photos?DO_NOT_SHARE_THIS_LINK

Questo è ciò che fa ad esempio Kongregate quando si incorporano giochi ospitati altrove (inserisce le credenziali di autenticazione nell'URL del frame). A proposito, Kongregate utilizza anche i collegamenti di accesso ospite per i giochi non pubblicati, proprio come si desidera utilizzare.