Ist es in Ordnung, zufällige URLs anstelle von Passwörtern zu verwenden? [geschlossen]

12

Wird es als "sicher" angesehen, URLs zu verwenden, die aus solchen zufälligen Zeichen bestehen?

http://example.com/EU3uc654/Photos

Ich möchte einige Dateien / Bildergalerien auf einen Webserver stellen, auf die nur eine kleine Gruppe von Benutzern zugreifen kann. Mein Hauptanliegen ist, dass die Dateien nicht von Suchmaschinen oder neugierigen Power-Usern aufgenommen werden, die sich auf meiner Website umsehen.

Ich habe eine .htaccess-Datei eingerichtet, nur um zu bemerken, dass das Klicken auf http://user:pass@url/Links bei einigen Browsern / E-Mail-Clients nicht gut funktioniert und Dialoge und Warnmeldungen auffordert, die meine nicht allzu computergeschützten Benutzer verwirren.

web-server authentication password password-protected Eintopf
quelle
Nein. Sie können dies verwenden, jedoch nicht als einzigen oder Hauptauthentifizierungsmechanismus.
Andrew Smith
1
Ich habe dies viele Male als Experiment versucht und jedes Mal, wenn die Links in Suchmaschinen auftauchen. Ich weiß nicht wie, aber ich weiß, dass es passiert.
David Schwartz
Möglicherweise möchten Sie SSL konfigurieren, um die Warnungen zu stoppen. Sie können kostenlose Zertifikate von startssl.com erhalten, und SSL ist nicht mehr rechenintensiv (sofern es ordnungsgemäß konfiguriert ist).
Hubert Kario
Diese Frage ist ein klassisches "nicht konstruktives" Beispiel. Wir wissen nicht, wie sehr Sie die Sicherheit Ihrer Bilder schätzen. Die einzige Möglichkeit, die Wichtigkeit der Sicherheit zu kommunizieren, besteht in der von Ihnen implementierten Autorisierungsmethode, um den Zugriff auf diese Bilder zu schützen. Was Sie haben, sind "Debattenargumente" in Form von "Antworten". Keiner von ihnen bietet jedoch einen umfassenden Überblick über die moderne Sicherheit und die technischen Auswirkungen. Sie sollten sich über die von Ihrer Plattform bereitgestellten Sicherheitsmethoden informieren und deren Wert für Ihre Situation bewerten. Wenn Sie danach weitere Fragen haben, fragen Sie erneut.
Chris S

Antworten:

17

Ob es "okay" ist oder nicht, hängt davon ab, wie empfindlich die Bilder sind.

Wenn Sie kein SSL verwenden, werden die URLs, HTML und die Bilder selbst auf den Computern Ihrer Benutzer zwischengespeichert. Dies könnte auslaufen, aber ich würde es für unwahrscheinlich halten.

Browser-Symbolleisten, insbesondere solche von Unternehmen, die Crawler wie Alexa und Netcraft ausführen, können besuchte URLs an ihre übergeordneten Websites zurückmelden, damit der Bot sie später durchsuchen kann.

Eine ordnungsgemäße Authentifizierung wie HTTP-Authentifizierung oder eine POST-Variable sollte auf diese Weise nicht zwischengespeichert oder an eine übergeordnete Website zurückgemeldet werden können.

Eine andere Technik besteht darin, eindeutige und kurzlebige URLs zu verwenden. Auf diese Weise spielt es keine Rolle, auch wenn sie auslaufen. Natürlich müssen Sie Ihre legitimen Benutzer der neuen URLs ständig aktualisieren.

Ladadadada
quelle
+1 für die Erwähnung von Browser-Symbolleisten.
Hubert Kario
23

Nein, nicht wirklich, das ist nur Sicherheit durch Dunkelheit, die überhaupt keine Sicherheit ist. Alles, was ohne wirklichen Schutz direkt aus dem Internet erreichbar ist, wird gefunden, indiziert und zwischengespeichert.

user9517
quelle
10
Sind nicht alle Passwörter nur Sicherheit durch Unbekanntheit?
Winston Ewert
4
@ WinstonEwert: Passwörter selbst haben nichts mit Sicherheit durch Unkenntnis zu tun, die mit der Geheimhaltung von Design / Implementierung zu tun hat. Im Fall von zum Beispiel Apache Basic Authentication ist das Design / die Implementierung für alle sichtbar.
User9517
10
Unsinn - alles ist Sicherheit durch Dunkelheit. Der springende Punkt ist, dass Sie zum Erreichen dieses Ziels eine Information benötigen, die mit hinreichender Wahrscheinlichkeit nicht zu erraten ist. Der Satz "Sicherheit durch Dunkelheit" wird massiv überbeansprucht. Eine zufällige URL entspricht genau der Eingabe eines "Passworts" in die URL. Die einzige Frage ist - wer kann das sehen, und die Antwort, wie ich in meinem Kommentar formuliere, lautet "Intermediate Proxies, plus http, damit jeder schnüffeln kann"
Bron Gondwana,
1
Ein Fehler (oder die Rückkehr zur Standardkonfiguration) in apache config und Ihre Verzeichnisse zeigen Indizes mit allen Dateien und Verzeichnissen auf Ihrer Hand, weniger mit Passwörtern.
Hubert Kario
4
Sie sagen, Sicherheit durch Unbekanntheit "bezieht sich auf die Geheimhaltung von Design / Implementierung". Es ist jedoch klar, dass zufällige URLs nicht die Geheimhaltung von Design / Implementierung betreffen. Daher können zufällige URLs, unabhängig von ihren Fehlern, nicht als Sicherheit durch Verschleierung eingestuft werden.
Winston Ewert
6

Sie werden auf dem Weg in jeden Proxy eingeloggt. Sie sind vor neugierigen Power-Usern und Suchmaschinen sicher, es sei denn, jemand veröffentlicht den Link tatsächlich.

Und achten Sie natürlich auf die Zufälligkeit Ihres Generators.

Ich vermute, Sie suchen hier nicht nach extrem hoher Sicherheit.

Bron Gondwana
quelle
Wenn jemand die URL veröffentlichen würde, würde ihn nichts daran hindern, ein Passwort zu veröffentlichen. Authentifizierung durch Wissen als Faktor kann immer so "ausgetrickst" werden.
Manuel Faux
@ ManuelFaux: Sicher, wenn es beabsichtigt ist. Es kann aber auch zufällig sein. Beispielsweise kann er ein Tool verwenden, mit dem er besuchte URLs überprüft, um festzustellen, ob sie als bösartig gemeldet wurden. Tools wissen, dass Passwörter geheim gehalten werden sollen. Sie wissen, dass Parameter in URLs sensibel sein können. Sie wissen jedoch nicht, dass Pfade in URLs dies tun. (Zum Beispiel http referer .)
David Schwartz
5

Eine kryptische URL ist praktisch für Einmal-Downloads, bietet jedoch keinen wirklichen Schutz. Sie müssen sich bewusst sein, dass nicht alle Bots die robots.txt-Datei akzeptieren. Wenn also irgendwo auf Ihrer Website ein Link zu dem verschleierten Ordner vorhanden ist, wird dieser von einigen Suchmaschinen indiziert, und wenn er gestartet wird, gibt es kein Zurück mehr.

Ich würde vorschlagen, stattdessen oder zusätzlich zu dem, was Sie vorschlagen, ein einfaches .htaccess-basiertes Authentifizierungssystem zu verwenden.

John Gardeniers
quelle
5

Ich möchte eine weitere, vielleicht gruseligere Perspektive auf verschleierte URLs wie dieses Beispiel hinzufügen. Auch wenn Ihre URL nicht versehentlich weitergegeben wird, kann sie von folgenden Stellen an Suchmaschinen übermittelt werden:

  • Der ISP eines Besuchers. HTTP-Besuche werden gesammelt, mit Daten versehen und manchmal sogar von ISPs direkt an Dritte verkauft.
  • Der Cloud-Speicher eines Besuchers. Es gibt eine Reihe von Diensten, die Lesezeichen und den Verlauf kostenlos speichern, um eine Synchronisierung über Browserinstallationen hinweg zu ermöglichen. Sofern sie die Daten nicht wie Mozilla vorverschlüsseln, können dieselben Data Mining-Praktiken impliziert werden.

YMMV.

Korkman
quelle
oh ja - oder einfach durch ein Browser-Plugin, das nach verwandten Sites sucht oder es Benutzern ermöglicht, Notizen über eine Seite
auszutauschen
2

In der Vergangenheit habe ich eine ähnliche Methode verwendet, um Benutzern das Erstellen von Freigabebereichen in einem Dokumentenverwaltungssystem zu ermöglichen. Der geteilte Inhalt war nicht streng geheim, so dass das System nicht extrem sicher sein musste.

Ich habe gerade dafür gesorgt, dass jede Benutzer-URL einen Ablaufzeitstempel und eine MD5 ihrer E-Mail enthält.

SO sah die URL aus wie:

http://my-url.com/1343689677-cba1f2d695a5ca39ee6f343297a761a4/

Wenn der Benutzer die E-Mail [email protected] vor dem 30. Juli eingibt, kann er mit dem oben genannten Vorgang beginnen.

Nicht gerade für militärische Zwecke geeignet, hat aber den Job gemacht.

Dave e
quelle
0

Dies hat dieselbe Sicherheitsanfälligkeit wie das Speichern der Sitzungs-ID in einer URL. Jemand kann versehentlich den Link kopieren, vergessen, ihn in einem Screenshot zu zensieren, oder jemanden nachschlagen lassen, da er nicht wie Kennwörter mit einem Sternchen versehen ist.

Wenn ein Teil des Inhalts durch ein Passwort geschützt ist, müssen Sie sich anmelden. Sie wissen, dass dies ein Geheimnis ist. Wenn Sie einen Link bekommen, können Sie ihn leicht vergessen.

Eine andere Sache ist das Entfernen von Benutzerrechten. Sie können einen Benutzer löschen, sodass er sich nicht mehr anmelden kann, aber mit Links. Sie müssten alle ändern und allen (mit Ausnahme des gelöschten Benutzers) neue URLs senden.

Ich finde es nicht schlecht, wenn es sich nur um Bilder handelt. Aber wenn dies einige Bilder sind, die Sie wirklich, wirklich nicht gerne teilen würden;) dann empfehle ich Ihnen, ein längeres zufälliges Wort zu verwenden, eher wie das, das Sie vorgestellt haben.

BEARBEITEN: Fügen Sie der URL? DO_NOT_SHARE_THIS_LINK hinzu: http://example.com/DO_NOT_SHARE_THIS_LINK/EU3uc654-dies-sollte-länger sein/ Fotos?DO_NOT_SHARE_THIS_LINK

Das ist es, was zB Kongregate macht, wenn Spiele eingebettet werden, die an anderer Stelle gehostet werden. Übrigens verwendet Kongregate auch Links für den Gastzugang für nicht veröffentlichte Spiele, genau so, wie Sie es möchten.

Markus von Broady
quelle
Tatsächlich ist es viel schlimmer als Sitzungs-IDs, da Sitzungen nach einiger Zeit ablaufen. Suchmaschinen, die eine angemeldete Sitzungs-ID abrufen, führen normalerweise dazu, dass in den Ergebnissen ein toter Link bzw. eine nicht angemeldete Sitzung angezeigt wird. Wenn sich der Server nicht darum kümmert, synchronisiert er möglicherweise die Sitzung vieler Benutzer, und wenn sich einer von ihnen anmeldet, tun dies alle. Wie auch immer, nicht so schlimm wie eine dauerhaft angemeldete URL :-)
korkman
Natürlich ist es schlimmer, und Sie können sich auch an die IP in der Sitzung erinnern, da Sie sich zuerst anmelden müssen, um die Sitzungs-ID in der URL zu erhalten, und dann können Sie die Sitzung zerstören, wenn sich die IP geändert hat.
Markus von Broady