如果我在线设置一个简单的Web服务器(例如nginx),并生成一个非常大的随机字符串(这是不可能的),并在我的域上托管该端点,例如
example.com/<very-large-random-string>
我会安全地说,在该端点托管一个webapp而没有用于存储我的个人信息的身份验证(比如便笺或便笺)?
我知道谷歌文档会这样做,有什么特别的事情要做(再次,例如对于nginx),以防止某人获取所有可用页面的列表?
我想问我是否有任何方法可以让恶意行为人找到这样一个页面的存在,最好不管我使用的是什么网络服务器。
答案 0 :(得分:2)
如果我的网上银行开始使用这个系统,我会非常惊慌,但它应该给你一个基本的安全级别。请记住,这是security through obscurity,这是相当不赞成的,并且当有人发现隐藏的URL时,它将立即变为无保护。
为防止这种情况发生,您需要采取一些预防措施:
Install an SSL certificate on your server,始终通过https访问网址,从不通过http访问网址(否则网址路径将以普通视图发送并可见一路上的每个人)。
确保您的安全文档包含无外发链接。这不仅包括超链接(<a href="...">),还包括嵌入的图像,样式表,脚本,媒体文件等。否则,该URL将通过Referer请求标头泄露给其他域。 * 1
(有点不用了,但是)确保此页面还有无入站链接。虽然现在它们并不常见,但网络主机用于生成自动&#34;网络统计数据&#34;显示每个Web域的流量的页面。某些内容管理系统会自动生成站点地图。这也差一点。
Disable directory browsing。换句话说,请确保访问隐藏目录上方目录级别的人员不会显示子目录列表。
请记住,网址始终会显示在地址栏和浏览器历史记录中,也可能出现在其他地方,例如浏览器的Cookie jar。当有人在您的地址栏中输入域名时,您的浏览器可能会自动完成其余的网址。
* 1:实际上,当您访问其他https页面时,您的浏览器只会发送Referer标题,但仍然......
答案 1 :(得分:-1)
如果您想要安全地存储个人信息,这不是正确的方法。 正如狡猾的ossifrage所说的那样,那是通过默默无闻的安全,并且是一种不应该使用的方法。
相反,您可以使用sftp或ftps服务器,或进行身份验证,请参阅:https://www.digitalocean.com/community/tutorials/how-to-set-up-password-authentication-with-nginx-on-ubuntu-14-04