我从来没有在我的系统中留下后门,但出于好奇,我想知道我是否留下了一个像/x52d23r 这样的 secret URL,它允许绕过某种安全性,而这仅供我个人使用——那是吗?在没有从我这里获取信息的情况下,以某种方式被第三方发现?
例如,可以对 secret 端口进行端口扫描和指纹识别,但是可以对 secret URL 执行相同的策略吗?
最佳答案
使用“ secret URL”通常不安全的原因并不是因为它是“通过模糊实现安全”。在信息论中, secret URL 与密码或私钥没有什么不同。密码和私钥是否被认为是一种糟糕的做法,因为它们是“通过默默无闻实现安全”?没有。
那么难以猜测的网址和难以猜测的密码有什么区别?
区别在于 URL 的存储、显示和传输方式存在大量不安全的地方和方式。示例:
- 在网络浏览器地址栏、历史记录和缓存中*
- 发送到其他网站的 HTTP Referer header *
- 在网络服务器访问日志中*
- 在代理和第 7 层防火墙访问日志中
- 在数据包转储中
- 在网络统计流量报告中(例如 AWStats、Google Analytics)*
HTTPS 可以保护其中一些,但不是全部(标有 * 的项目不受使用 HTTPS 的保护。)
在高度受控的环境中,难以猜测的 URL 可能是安全的。但是,当使用常见的 Web 浏览器、Web 服务器和 Web 框架时,不应依赖难以猜测的 URL,除非不存在其他选项(即使如此,您也应该仔细考虑)。
关于security - secret URL 真的安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4833314/