为了简单起见,我想对网站使用这样的管理链接:
http://sitename.com/somegibberish.php?othergibberish= ...
所以实际的 URL 和参数将是一些完全随机的字符串,只有我知道。
我知道通过默默无闻的安全通常是一个坏主意,但它是一个现实的威胁,有人可以找到 URL 吗?不要把托管公司的员工和线路上的窃听者考虑在内,因为它是一个玩具网站,不是什么重要的东西,托管公司反正也不给我安全的FTP,所以我只关心普通访问者.
有没有办法找到这个网址?它不会出现在网络上的任何地方,所以谷歌现在也不会这样做。我希望,至少。:)
我的计划中还有其他我看不到的漏洞吗?
好吧,如果你能保证只有你会知道它,它就会起作用。不幸的是,即使忽略了中间的恶意人员,它也可以通过多种方式泄露出去......
一些只有我知道的完全随机的字符串。
对我来说听起来像是密码。:-)
如果您必须记住一个秘密字符串,我建议您“正确”使用用户名和密码,因为 HTTP 服务器将被写入不会泄露密码信息;URL 的情况并非如此。
这可能只是一个玩具网站,但为什么不练习正确设置安全性,因为如果你弄错了也没关系。所以希望,如果您确实有一个需要在未来保护的网站,那么您已经犯了所有错误。
我知道通过默默无闻的安全
通常是一个非常糟糕的主意,
为你修好了。
这里的危险是你可能会养成“哦,它适用于玩具某某网站,所以我不会费心在其他网站上实施真正的安全”的习惯。
如果您忽略Kerckhoff 的原则,您将对您自己(以及您系统的任何客户/用户)造成伤害。
话虽如此,滚动您自己的安全系统是个坏主意。更聪明的人已经创建了其他主要语言的安全库,甚至更聪明的人已经审查和调整了这些库。使用它们。
它可能通过“推荐人泄漏”出现在网络上。在http://entrian.com/说您的页面链接到我的页面,然后我在网络上发布我的网络服务器引用日志。会有一个条目说http://entrian.com/是从http://sitename.com/somegibberish.php?othergibberish=访问的...
只要“登录 URL”从未在任何地方发布,搜索引擎就应该没有任何方法可以找到它。如果它只是一个没有个人或真正重要内容的小型个人玩具网站,与实施某种形式的适当登录/授权系统相比,我认为这是一个快速且体面的安全解决方案。
如果该网站获得了大量用户和大量内容,或者只是变得不仅仅是一个“玩具网站”,我建议你以正确的方式去做
我不知道您的玩具管理页面会显示什么,但请记住,在加载外部图像或链接到其他地方时,您的推荐人将公开您的 URL。
如果您将 http 更改为 https,那么至少该 url 对任何在网络上嗅探的人都是不可见的。
(这里需要注意的是,您还需要考虑非常模糊的登录系统可能会在网络跟踪 (MITM)、启用 priv.elevation 的站点/目标上的某个位置或您使用的系统上留下有趣的痕迹如果该登录不再安全并且有些人更喜欢管理员登录看起来与标准用户登录没有什么不同,则登录以避免这种情况)
您可以要求采取某些行动 # 次,并且在两次之间延迟几秒。在注意到这个动作、延迟、动作、延迟、动作模式之后,管理界面将变得可用于登录。并且界面中使用的 url 每次都可以随机化,在该模式之后生成一个使用 url。此外,您只能通过某个隧道公开此接口,并且只能在延迟编码的端口上公开一分钟。
如果你能以一种在日志中没有突出的方式来做这一切,那将是“聪明的”,但你也可以通过编写所有代码来打开新的漏洞,这与“保持简单愚蠢”背道而驰。