Используя случайное имя папки на веб-сервере для ограничения доступа к нему - плохая идея?
Обратите внимание также, что на другом unixes, метод определения раздела отличается. На solaris, например, это:
man -s 1 man
8 ответов
Для личного сайта это, вероятно, нормально, но только вы знаете ценность того, что защищаете. Следует опасаться, если у вас есть веб-страницы в этом каталоге, которые ссылаются на внешние источники - щелкнув ссылку на один из этих внешних URL-адресов, вы (вероятно) передадите свой «секретный» URL-адрес в заголовке HTTP-реферера. Кроме того, он принимает только обратную ссылку на ваш «секретный» URL-адрес, а роботы и пауки могут быть повсюду, и тогда вы найдете его в Google. Так что будьте очень осторожны!
Это форма безопасности через неизвестность - и это плохая защита.
Я использую случайное имя папки с паролем htaccess и сертификатом SSL. Пароль - это простой запасной вариант, на тот случай, если кто-то умный (скажем, чувак, управляющий ИТ-отделом в кафе) сможет получить доступ между вашим компьютером и Интернетом. Шифрование SSL необходимо, поскольку пароли htaccess не зашифрованы.
Что бы вы ни делали, убедитесь, что у вас нет ссылки на вашу страницу.
Вопреки тому, что говорили другие, это не безопасность через неясность, и в зависимости от того, как присвоено случайное имя папки и как это имя защищено, это может быть очень безопасным решением.
Сначала выберите имя папки из большого «пробела». Судя по размеру числа в вопросе, похоже, что это было сделано. Лично я бы выбрал число случайным образом в диапазоне от 2 112 или 2 128 , а затем закодировал его в текст с использованием шестнадцатеричного числа (base-64 будет работать в некоторых контекстах, но это не удобно для имен каталогов).
Случайный компонент должен быть выбран из генератора случайных чисел криптографического качества.
Затем защитите случайное имя, передавая и сохраняя его только на защищенном носителе. Это означает, например, доступ только к содержимому каталога по HTTPS. Без SSL злоумышленник узнал бы имя секретного каталога и имел бы неограниченный доступ.
Если это делается администратором только для собственного использования, это быстрое и простое решение. Если доступ к каталогу требуется нескольким сторонам, имена пользователей и пароли (которые также должны передаваться только по защищенному каналу) быстро становятся более удобными, поскольку права могут быть предоставлены только администратором и могут быть отозваны, не затрагивая других пользователей.
Да, это плохая идея.
Если вы не используете пароль, другие системы не будут рассматривать его как таковой.
Например, ваш браузер теперь будет кэшировать этот URL в своем история. Он не будет делать этого автоматически для паролей (по крайней мере, не в Firefox)
А как насчет разрешения списка? Что насчет интернет-переходов, они увидят ваш URL.
Если вы начнете обходить систему безопасности, она не узнает, что вы хотите быть в безопасности.
РЕДАКТИРОВАТЬ
Другой способ подумать об этом То есть, когда программа видит пароль, она говорит: «Это проблема безопасности, и я буду рассматривать ее как таковую». Но для URL-адресов это идет «Да, еще один фрагмент данных».
Как сказал Pyrolistical, рандомизированный URL-адрес не защищен с той же степенью осторожности, что и пароль. В системах, хранящих и передающих пароли, проводится множество исследований в области безопасности, и если вы просто используете вместо этого случайный URL-адрес, вы ничего этого не получите. (Что ж, вы можете принудительно использовать HTTPS для URL-адреса, что дает вам некоторую выгоду) Но если вы просто хотите сдерживать случайных наблюдателей, вероятно, этого достаточно. Я' Я использовал эту технику в прошлом, когда хотел поделиться URL-адресом с несколькими людьми, учитывая, что данные, хранящиеся в URL-адресе, не были особенно конфиденциальными.
Что касается того, подходит ли вам подход рандомизированного URL-адреса, это зависит от - какие веб-страницы вы можете получить с него? Обычно «администратор» означает такие вещи, как приложения для управления системой или интерфейсы баз данных (phpMyAdmin и т.п.) и тому подобное, я бы не стал доверять случайной схеме URL. По сути, если веб-страницы, которые вы пытаетесь защитить, позволяют вам вносить изменения в систему, используйте защиту паролем. Но если это приложения для мониторинга только для чтения, такие как статистика сервера (и если нет конфиденциальной или личной информации), случайный URL-адрес может подойти.
Честно говоря, почему бы и нет?
Я бы сказал, что требуется меньше усилий, чтобы сказать, просто нажмите на HTTP-аутентификацию в apache, чем для запоминания каких-то 32+ символьная тарабарщина доменного имени.
Плохая идея - это в основном безопасность через неизвестность.
Это то, что вы использовали бы для защиты папки phpbb / install / во время установка, но не как постоянное решение.