为了简单起见,我想对网站使用这样的管理员链接:
http://sitename.com/somegibberish.php?othergibberish= ...
所以实际的URL和参数将是一些完全随机的字符串,只有我才知道。
我知道通过默默无闻的安全性通常是一个坏主意,但这是否是一个可以找到URL的现实威胁?不要考虑托管公司的员工和窃听者的线路,因为它是一个玩具网站,不是重要的东西,托管公司也不会给我安全的FTP,所以我只关心普通访客
是否有人找到此网址?它不会在网络上的任何地方,所以谷歌现在也不会。我希望,至少。 :)
我的计划中的任何其他漏洞我都没看到?
答案 0 :(得分:14)
好吧,如果你能保证只有你会知道它,它会起作用。不幸的是,即使忽略了中间的恶意人,也有很多方法可以泄露......
答案 1 :(得分:4)
一些完全随机的字符串 只有我知道。
听起来像是我的密码。 : - )
如果您必须记住一个秘密字符串,我建议“正确”地使用用户名和密码,因为HTTP服务器将被写入不泄漏密码信息; URL的情况也是如此。
这可能只是一个玩具网站,但为什么不练习正确设置安全性,因为如果你弄错了也没关系。所以希望如果你确实有一个你需要保护的网站,那么你已经犯了所有错误。
答案 2 :(得分:2)
我通过默默无闻地知道安全
一般一个非常坏主意,
为你修好了。
这里的危险是你可能会习惯于“哦,它适用于玩具这样的网站,所以我不会在这个其他网站上实施真正的安全性。 “
如果忽略Kerckhoff's Principle,您将对自己(以及系统的任何客户/用户)造成伤害。
话虽如此,滚动自己的安全系统是一个坏主意。聪明的人已经用其他主要语言创建了安全库,甚至更聪明的人也已经审查并调整了这些库。使用它们。
答案 3 :(得分:1)
它可能通过“Referer leak”出现在网上。假设您的页面链接到我的页面http://entrian.com/,并在Web上发布我的Web服务器引用日志。会有一个条目说明http://entrian.com/是从http://sitename.com/somegibberish.php?othergibberish= ...
访问的答案 4 :(得分:1)
只要“login-URL”永远不会发布到任何地方,搜索引擎就不应该有任何方式来找到它。如果它只是一个没有个人或非常重要内容的小型个人玩具网站,我认为这是一种快速,体面的安全解决方案,与实施某种形式的正确登录/授权系统相比。
如果该网站获得了大量用户和大量内容,或者只是变得不仅仅是一个“玩具网站”,我建议您以正确的方式进行操作
答案 5 :(得分:0)
我不知道您的玩具管理页面会显示什么,但请记住,在加载外部图片或链接到其他地方时,您的推荐人会宣传您的网址。
答案 6 :(得分:0)
如果您将http更改为https,那么至少在网络上嗅探的人都无法看到该网址。
答案 7 :(得分:0)
(这里需要注意的是,您还需要考虑一个非常模糊的登录系统可以在网络跟踪(MITM)中找到有趣的痕迹,在网站/目标上的某个位置启用私有化,或者在系统上你使用登录,如果那个不再安全,有些人更喜欢管理员登录,看起来与标准用户登录没有区别,以避免这种情况)
您可能需要执行一些操作次数,并且在时间之间延迟一些秒。在此操作之后,注意到延迟,操作,延迟,操作模式,管理界面将可用于登录。并且每次使用在该模式之后生成的单个使用URL时,界面中使用的URL可以被随机化。此外,您只能通过某个隧道公开此接口,并且只能在延迟编码的端口上显示一分钟。
如果你能够以一种在日志中不突出的方式完成所有这些,那就是“聪明”,但你也可以通过编写所有代码来打开新的漏洞而且反对“保持简单笨”。