Question

如果我在根目录中放置一个文件夹并给它一个不容易猜到的名称，它是否有效隐藏？

www.my_domain.com/some_path

是

some_path equals something like "1Ki9u"

我想将此作为一种快速登录方式。文件夹1Ki9u内部将有一些PHP登录我的网络应用程序。

Answer 1

这是不安全性。这与将密码从password更改为password1没有什么不同。只需要强力查找您的URL（有几个程序可以出于这个原因对服务器进行暴力扫描以查找404错误。）

通过真实安全登录使用真实安全性。

如果你非常懒惰，可以使用像.htpasswd使用名和密码一样简单的东西。

Answer 2

通过适当的服务器配置，可以非常有效地隐藏它。但是，我认为这不是一个好主意：

IP地址阻止=＆gt;在大多数情况下是可靠的，尽管它很容易被欺骗。
浏览器历史记录。无论谁坐在同一台PC上，您都可以找到隐藏的URL。或者，如果您需要访问朋友/同事PC的隐藏数据？
如果时间长了，就不能强行强迫，特别是因为很少有人会在随机网站上搜索奇怪的网址。
键盘记录程序/特洛伊木马/病毒并不少见。虽然这也是常规登录的安全风险，但登录脚本可能更安全一些。
用户友好性。我实际上并没有看到记住一个10+字符的文件夹名称或密码是多么容易（我猜你会使用一个电子邮件地址登录，你真的不能忘记）。此外，如果你忘记了文件夹名称，没有简单的方法来恢复它（好吧，FTP登录，但这将失败的目的）。使用登录表单，您可以使用重置密码。

总的来说，如果你足够小心，你的隐藏URL几乎不可能被发现，但从我的观点来看，这样做并没有什么好处。此外，您将不会像使用常规登录脚本那样安全。

如果您真的想这样做，只有在您没有非常敏感的信息时才能这样做。我的意思是，如果有人掌握了你一直在做的个人项目，这可能不是一个悲剧，但是掌握你所拥有的所有FTP / cPanel密码的文本文件可能会非常糟糕。

Answer 3

这被称为“通过默默无闻的安全”。最简洁的答案是不。这甚至不是安全的。

Answer 4

如果您从未链接到它并将您的书签和历史保密，那么就会有人知道它存在。目录名称越长，有人猜测（或暴力破解）URL的机会就越小。

虽然仅使用网址登录是不安全的。即使使用登录表单，您也不会完全安全，因为它不受暴力破坏（但是，超过12个字符的非字典密码是非常安全的）。

如果您想要非常安全，请使用双因素授权，以便在输入的密码正确时将登录代码通过电子邮件发送到指定的电子邮件地址。然后使用该代码登录。（实施例）