背景
我正在为自己的需求开发一个应用程序,它有一些非常轻量级的框架。我不想花时间在用户普及,登录等方面。除了我,没有人会使用它。
我的问题
假设我希望能够在访问此地址时添加或删除数据库中的任何内容:
http://www.example.com/?secret=eccbc87e4b5ce2fe28308fd9f2a7baf3
没有登录,只有这个地址。这有多安全?如果它不安全,什么是一个很好的简单解决方案?
我的想法
答案 0 :(得分:3)
如果它没有通过SSL,那么它也可以被嗅探。如果你在公共wifi上更新,任何人都可以看到价值。虽然不太可能有人会嗅到你的网站
答案 1 :(得分:2)
如果这只是为了你自己,它应该没问题。尚未提及的一个警告 - 确保您没有将其他网站的内容嵌入到您的网页中,或者他们会在其Referer标题中看到您的神奇价值。
答案 2 :(得分:1)
你的想法是正确的。所以不要在公共计算机上为URL添加书签;-)
如果它是MD5或其他大文本字符串由您决定......
答案 3 :(得分:0)
要回答帖子标题“GET变量是否安全传输秘密?”中的问题,答案是否定的(取决于你所说的'安全')。正如一些人所指出的那样,尽管可能没有猜到唯一的URI,但如果某人在网络上适当地定位(咖啡店,室友,图书馆,大学,ISP等),则有可能找到唯一的URI。 / p>
即使使用SSL(HTTPS),SSL中也存在一些弱点,这些弱点仍然可以向适当定位的攻击者显示您的流量。参见SSLStrip [0],BEAST攻击[1]和最近的CRIME [2]以及其他。
真正的困境是你愿意冒多大的风险。如果您使用URI查看小猫的图像,那么您可能希望接受风险。但是,如果您使用它来存储您的信用卡详细信息,那么您可能不想接受这种风险。
除了数据包嗅探之外,还有其他方式可以显示您的独特“秘密”URI。可以透露的另一种方式是,如果从该“秘密”页面链接到第三方站点并单击该链接,则可以在HTTP“referer”标题中发送URI。
[0] http://www.thoughtcrime.org/software/sslstrip/
[2] http://arstechnica.com/security/2012/09/many-ways-to-break-ssl-with-crime-attacks-experts-warn/
答案 4 :(得分:-2)
如果您将其置于互联网上的任何公共场所,机器人都会找到它。在知道了URL并为您的网站编写了一个小机器人之后,有人可能只是使用彩虹表来使用md5s。如果它仅适用于小型管理,那就没问题了,但是有一些其他值可以检查它是危险的。也许md5和sha512一样。这很安全。