1

簡単にするために、サイトに次のような管理リンクを使用したいと思います。

http://sitename.com/somegibberish.php?othergibberish= ...

したがって、実際の URL とパラメーターは、私だけが知っている完全にランダムな文字列になります。

あいまいさによるセキュリティは一般的に悪い考えであることは知っていますが、誰かが URL を見つけることができるのは現実的な脅威ですか? ホスティング会社の従業員や回線の盗聴者を考慮に入れないでください。これはおもちゃのサイトであり、重要なことではありません。また、ホスティング会社は安全な FTP を提供してくれません。したがって、私は通常の訪問者についてのみ心配しています。 .

誰かがこの URL を見つける方法はありますか? それはウェブのどこにもないだろうから、Google も今はそれについても語らないだろう。少なくとも願っています。:)

私のスキームに見られない他の穴はありますか?

4

8 に答える 8

14

ええと、あなただけがそれを知っていると保証できるなら、それはうまくいくでしょう. 残念ながら、途中の悪意のある男性を無視しても、さまざまな方法で流出する可能性があります...

  1. プロバイダーのアクセス ログに表示され、最終的に Google に記録される可能性があります (ホスティング管理者によって確実に読み取られます)。
  2. 閲覧履歴にあります。プラグイン、拡張機能などはこれにアクセスでき、他の場所 (つまり StumbleUpon) にアップロードすることがよくあります。
  3. ラインに沿ったプロキシ サーバーは、それを明確に認識します。
  4. 別のサイトへのリファラーとして現れる可能性があります
于 2009-09-28T12:00:25.003 に答える
4

私だけが知っている完全にランダムな文字列。

私にはパスワードのように聞こえます。:-)

秘密の文字列を覚えておく必要がある場合は、HTTP サーバーがパスワード情報を漏らさないように作成されているため、ユーザー名とパスワードを「適切に」実行することをお勧めします。同じことは URL には当てはまりません。

これは単なるオモチャのサイトかもしれませんが、間違っても問題にならないので、適切にセキュリティを設定する練習をしてみてください。したがって、将来的に保護する必要があるサイトを持っている場合は、すでにすべての間違いを犯していることを願っています.

于 2009-09-28T12:01:16.047 に答える
2

あいまいさによるセキュリティは一般的非常に悪い考えであることは知っていますが 、

あなたのためにそれを修正しました。

ここでの危険は、「ああ、Toy のこれこれのサイトでうまくいったので、この別のサイトに本当のセキュリティを実装する気にはならない」という習慣に陥る可能性があることです。

Kerckhoff's Principleを無視すると、自分自身 (およびシステムのクライアント/ユーザー) に害を及ぼすことになります。

そうは言っても、独自のセキュリティ システムを導入することはお勧めできません。賢明な人々はすでに他の主要な言語でセキュリティ ライブラリを作成しており、さらに賢明な人々はそれらのライブラリをレビューして微調整しています。それらを使用します。

于 2009-09-28T12:54:50.647 に答える
1

「リファラー リーク」を介して Web 上に表示される可能性があります。あなたのページがhttp://entrian.com/の私のページにリンクしているとします。私は Web サーバーのリファラー ログを Web に公開します。http://entrian.com/がhttp://sitename.com/somegibberish.php?othergibberish=からアクセスされたというエントリが表示されます...

于 2009-09-28T12:00:12.803 に答える
1

「ログイン URL」がどこにも投稿されていない限り、検索エンジンがそれを見つける方法はありません。また、それが個人的なコンテンツや本当に重要なコンテンツのない小さな個人的なおもちゃサイトである場合、これは、何らかの形式の適切なログイン/承認システムを実装することに比べて、セキュリティに関して高速で適切に機能するソリューションであると考えています.

サイトが多くのユーザーと多くのコンテンツを獲得している場合、または単に「おもちゃのサイト」以上のものになっている場合は、適切な方法で行うことをお勧めします.

于 2009-09-28T12:01:03.863 に答える
0

(ここでの注意点は、非常にあいまいなログイン システムがネットワーク トレース (MITM)、priv.elevation を有効にするためのサイト/ターゲット、または使用するシステムのどこかに興味深いトレースを残す可能性があることも考慮する必要があることです。そのログインがもはや安全ではなく、それを避けるために標準のユーザーログインと変わらないように見える管理者ログインを好む人がいる場合はログインしてください)

何らかのアクションを # 回実行し、その間に何秒かの遅延を設ける必要がある場合があります。このアクション、遅延、アクション、遅延、アクション パターンが通知された後、管理インターフェイスがログインできるようになります。また、インターフェイスで使用される URL は、そのパターンの後に生成された単一使用の URL で毎回ランダム化できます。さらに、このインターフェイスは、一部のトンネルを介してのみ公開でき、遅延によってエンコードされたポートで 1 分間のみ公開できます。

ログで目立たない方法ですべてを行うことができれば、それは「賢い」でしょうが、そのすべてのコードを書くことで新しい穴を開けることもでき、「単純に愚かに保つ」に反します。

于 2013-07-10T07:49:20.017 に答える
0

おもちゃの管理ページが何を表示するかはわかりませんが、外部画像をロードしたり、別の場所にリンクしたりすると、リファラーが URL を公開することに注意してください。

于 2009-09-28T12:01:31.353 に答える
0

http を https に変更すると、少なくともその URL は、ネットワーク上でスニッフィングしている人には見えなくなります。

于 2009-09-28T13:05:09.943 に答える