バックグラウンド
私は、いくつかの非常に軽量なフレームワークを使用して、自分のニーズに合わせたアプリケーションに取り組んでいます。ユーザーの特権やログインなどに時間を費やしたくありません。私以外誰も利用しません。
私の質問
このアドレスにアクセスしたときに、データベースに何かを追加または削除できるようにしたいとします。
http://www.example.com/?secret=eccbc87e4b5ce2fe28308fd9f2a7baf3
ログインなし、このアドレスのみ。それはどれほど安全ですか?安全でない場合、簡単な解決策は何でしょうか?
私の考え
SSLを経由しない場合は、スニッフィングすることもできます。公共のwifiで更新すると、誰でもその値を確認できます。だれもあなたのウェブサイトを盗聴する可能性は非常に低いですが
これが自分のためだけなら、それでいいはずです。まだ言及されていない 1 つの警告 - 他のサイトのコンテンツをページに埋め込まないようにしてください。
あなたの考えは正しいです。そのため、公共のコンピューターで URL をブックマークしないでください ;-)
その MD5 または別の大きなテキスト文字列があなた次第である場合...
投稿タイトルの「GET 変数はシークレットを送信するのに安全ですか?」という質問に答えるには、答えはノーです (「安全」の意味によって異なります)。一部の人が指摘しているように、一意の URI を推測することはできないかもしれませんが、ネットワーク上 (コーヒー ショップ、ルームメイト、図書館、大学、ISP など) に適切に配置されていれば、誰かが一意の URI を見つけることができる可能性があります。
SSL (HTTPS) が使用されている場合でも、SSL にはいくつかの弱点があり、適切に配置された攻撃者にトラフィックを明らかにする可能性があります。SSLStrip [0]、BEAST 攻撃 [1]、最近の CRIME [2] などを参照してください。
本当のジレンマは、どれだけのリスクを負う意思があるかです。URI を使用して子猫の画像を表示している場合は、リスクを受け入れることをお勧めします。ただし、クレジットカードの詳細を保存するために使用している場合は、そのリスクを受け入れたくない場合があります.
パケット スニッフィングとは別に、一意の「秘密の」URI を明らかにする方法は他にもあります。それが明らかになる別の方法は、その「秘密」ページからサードパーティのサイトにリンクし、そのリンクをクリックした場合、URI が HTTP の「referer」ヘッダーで送信される可能性があることです。
[0] http://www.thoughtcrime.org/software/sslstrip/
[2] http://arstechnica.com/security/2012/09/many-ways-to-break-ssl-with-crime-attacks-experts-warn/
あなたがそれをインターネットのどんな種類の公共の場に置いても、ロボットはそれを見つけるでしょう。URLを知り、サイトに指定された小さなボットを作成した後、誰かがすべてのmd5をレインボーテーブルで反復する可能性があります。小規模な管理者の場合は問題ありませんが、他の値を入力してチェックインするのは危険です。多分同じのmd5とsha512。それは非常に安全です。