我从不在我的系统中留下后门,但出于好奇,我想知道我是否留下了像/ x52d23r那样允许绕过某种安全性的秘密URL,这仅供我个人使用---这是以某种方式发现的没有得到我的信息的第三方?
例如,秘密端口可以进行端口扫描和指纹识别,但是对于秘密URL可以采用相同的策略吗?
Mik*_*ark 96
使用"秘密URL"的原因通常是不安全的,不是因为它是"通过默默无闻的安全".在信息理论中,秘密URL与密码或私钥没有区别.密码和私钥是否被认为是一种糟糕的做法,因为它们是"通过默默无闻的安全"?没有.
那么难以猜测的URL和难以猜测的密码有什么区别?
区别在于存储,显示和传输URL的无数不安全的地方和方式.例子:
HTTPS可以保护其中的一些,但不能保护所有这些(标有*的项目不受使用HTTPS的保护.)
在高度受控的环境中,难以猜测的URL可以是安全的.但是,当使用常见的Web浏览器,Web服务器和Web框架时,除非不存在其他选项,否则不应依赖难以猜测的URL(即使这样您也应该仔细考虑).
Mic*_*yen 29
原始答案:通过默默无闻的安全是永远不应该实践的.
我想扩展这一点,因为我看到一些争论仍然是秘密URL与密码没有区别.我非常不同意这种比较.秘密URL和密码确实共享一个类似的特征:一个或多个特定的人/人都知道它们.这就是相似性结束的地方.
密码强度
从一系列随机单词中输入密码会使密码非常强大,很难猜测或暴力破解.
密码必须与用户名相结合,如果用户名不常见,也可以提高安全性.
用户名和密码组合不会静态显示在屏幕上,也不会存储在浏览器中的任何位置(除非您选择让浏览器"保存"您的登录凭据).
在违规的情况下可以更改密码,而无需将入口点更改为系统.
好的密码系统不会以纯文本形式存储在文件系统中.
秘密URL的弱点
除非在"隐身","私人"等模式下使用,否则URL将存储在您的本地历史记录/缓存中.
URL显示在浏览器窗口中,可以隐藏在流浪的眼睛中.
如果秘密URL被泄露,您必须更改它并通知使用它的任何人.
URL在服务器某处以纯文本形式存在,无论是作为真实目录/文件还是作为重写(但是,重写可能会在更高级别下降).
@Mike Clark在答案中提到的其他一切.
真正归结为:
秘密URL只是通过默默无闻来实现安全性.而已.
根据定义,密码可能是模糊信息,但围绕密码采取的额外措施,预防措施和保护措施可以在此基础上增加一定程度的安全性.换句话说,密码是分层的,除了默默无闻之外,还通过其他方式实施安全性.反过来,这使它们成为比简单的模糊URL更好的选择.
建议:同时使用"秘密"URL和非常强大的用户名/密码组合.不要依赖JUST一个"秘密"URL.
绝不使用默默无闻作为唯一保护措施来实施安全措施.
Mar*_*ers 10
这不安全.
对于HTTP流量,您的秘密URL一旦使用它就会立即公开.在没有任何密码保护的情况下,收听网络流量的窃听者可以看到您发送的URL,然后访问同一页面.
不好主意,因为:
我会说如果你小心他们可以安全.最大的安全漏洞是使用它的人.它将被无意中分享或发布到Google将其编入索引的地方.为此设计,并适当使用它 - 如Google文档"任何有此链接的人"共享方法.
使用HTTPS
停止以纯文本格式发送的URL
如果单击HTTP链接,则不设置引用标头
如果人们通过HTTP访问您的秘密URL,请警告他们并立即更改它
这是不是安全透过朦胧 -这是正常使用的短语的误解.
"通过默默无闻的安全系统可能存在理论或实际的安全漏洞,但其所有者或设计者认为这些漏洞尚不清楚,而且攻击者不太可能找到它们."
相比之下,您对实施和设计持开放态度.
我没有看到,当使用长密码URL(任何64个字符?2000 - domain_length?)与tar-pit结合使用时,这不比普通密码安全.
我打算在一个应用程序中使用它,我觉得人们会认为简单性高于安全性.