有人在内部买了这个,我不知道怎么回答。
我正在使用lambda函数将上传的文件从一个私有s3存储桶复制到另一个(也是私有的),然后向Slack发送一个webhook消息,说它已经完成。
webhook消息包括文件名和存储桶名称。
虽然这是在Slack中,因此无论如何都是'安全',如果我们假设访问了Slack帐户并且看到了文件名/存储桶名称,那么它们是否可以用来访问它们甚至帮助攻击者?
我无法想到任何事情,除非潜在地让攻击者知道它包含什么以及要查找什么。
答案 0 :(得分:4)
如果您无权访问存储区以获取文件,则文件名对您没有任何帮助。 除非你的文件名是: my-password-for-netflix-is-opensesame.txt
我确实有一些客户端非常具有保护性,以至于他们可能甚至会考虑某人根据他们的安全策略找出文件名的可能性,但这实际上取决于我猜的客户端。就个人而言,我没有看到任何问题。
另一方面,我倾向于对大多数文件使用非常通用的名称,例如GUID,当我将它们存储在S3上时,所以它通常对我来说没什么用。